Die Schwachstelle CVE-2026-35616 ist als fehlerhafte Zugriffskontrolle eingestuft. Nicht authentifizierte Angreifer können über speziell gestaltete Anfragen Code oder Befehle ausführen. Fortinet stellte den Fix am Samstag bereit und bestätigte zugleich, dass die Lücke bereits in freier Wildbahn ausgenutzt wird.

„Fortinet hat beobachtet, dass diese Schwachstelle in freier Wildbahn ausgenutzt wird, und fordert betroffene Kunden dringend auf, den Hotfix für FortiClient EMS 7.4.5 und 7.4.6 zu installieren", warnt der Hersteller. Betroffen sind die Versionen 7.4.5 und 7.4.6, die sich durch die Installation eines entsprechenden Hotfixes absichern lassen. Die Lücke wird zudem in der kommenden Version 7.4.7 behoben. FortiClient EMS 7.2 ist nicht betroffen.

Entdeckt wurde der Fehler vom Sicherheitsunternehmen Defused, das ihn als Umgehung der API-Zugriffskontrolle vor der Authentifizierung beschreibt. Angreifer können damit die Authentifizierungs- und Autorisierungskontrollen vollständig umgehen. Auf der Plattform X teilte Defused mit, die Schwachstelle in dieser Woche als Zero-Day-Exploit beobachtet und sie anschließend im Rahmen einer verantwortungsvollen Offenlegung an Fortinet gemeldet zu haben.

Der Internetdienst Shadowserver hat mehr als 2.000 offen erreichbare FortiClient-EMS-Instanzen im Netz gefunden. Die Mehrzahl davon befindet sich in den USA und in Deutschland.

Die neue Lücke folgt auf eine separate kritische FortiClient-EMS-Schwachstelle, CVE-2026-21643, die kürzlich gemeldet wurde und ebenfalls aktiv für Angriffe genutzt wird. Beide Schwachstellen gehen auf Defused zurück; für die jüngste Lücke nennt Fortinet zudem Nguyen Duc Anh als Entdecker.

Fortinet ruft seine Kunden dazu auf, die Hotfixes unverzüglich einzuspielen oder auf Version 7.4.7 umzusteigen, sobald diese verfügbar ist, um das Risiko einer Kompromittierung zu verringern.