Die Schwachstelle beruht laut Fortinet auf einer fehlerhaften Zugriffskontrolle (CWE-284). Ein nicht authentifizierter Angreifer kann dadurch die API-Authentifizierung und -Autorisierung umgehen und über präparierte Anfragen Schadcode oder Befehle ausführen. In seiner Sicherheitsmeldung erklärte das Unternehmen, es habe die Ausnutzung in freier Wildbahn beobachtet, und forderte verwundbare Kunden auf, den Hotfix für FortiClient EMS 7.4.5 und 7.4.6 zu installieren.

Als Entdecker der Lücke nennt Fortinet Simo Kohonen von Defused Cyber sowie Nguyen Duc Anh. In einem Beitrag auf X teilte Defused Cyber mit, in dieser Woche eine Zero-Day-Ausnutzung von CVE-2026-35616 beobachtet zu haben. Nach Angaben von watchTowr wurden erste Ausnutzungsversuche gegen die eigenen Honeypots am 31. März 2026 registriert.

Der Vorfall ereignet sich nur wenige Tage, nachdem eine andere kürzlich gepatchte kritische Schwachstelle in FortiClient EMS (CVE-2026-21643, CVSS 9.1) aktiv ausgenutzt wurde. Ob derselbe Bedrohungsakteur hinter beiden Angriffen steht und ob die Lücken kombiniert eingesetzt werden, ist derzeit nicht geklärt. Angesichts der Schwere der Schwachstellen wird Nutzern geraten, FortiClient EMS so schnell wie möglich auf die neueste Version zu aktualisieren.

Benjamin Harris, CEO und Gründer von watchTowr, ordnete den Zeitpunkt gegenüber The Hacker News ein: Das Hochfahren der Ausnutzung dieses Zero-Days sei wahrscheinlich kein Zufall. Angreifer hätten wiederholt gezeigt, dass sich Feiertagswochenenden am besten für Angriffe eigneten. Sicherheitsteams seien dann nur halb besetzt, Bereitschaftsingenieure abgelenkt, und das Zeitfenster zwischen Kompromittierung und Entdeckung dehne sich von Stunden auf Tage. Ostern stelle, wie jeder andere Feiertag, eine Gelegenheit dar.

Harris kritisierte zudem das größere Bild: Es handele sich um die zweite Schwachstelle in FortiClient EMS innerhalb weniger Wochen, die ohne Authentifizierung ausnutzbar sei. Organisationen, die FortiClient EMS betreiben und über das Internet erreichbar seien, sollten die Lage als Notfall behandeln und nicht erst am Dienstagmorgen angehen. Der Hotfix müsse eingespielt werden – die Angreifer hätten bereits einen Vorsprung.