文章总结： FortinetFortiClientEMS平台存在关键SQL注入漏洞CVE-2026-21643（CVSS9.1），目前已被积极利用。攻击者通过特制HTTP请求的site标头注入SQL语句，可在未认证情况下实现远程代码执行。近1000个实例暴露于公网，攻击者成功利用后可获取初始立足点进行横向移动或部署恶意软件。建议用户及时更新补丁。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,威胁情报,应用安全,网络安全

关键 Fortinet FortiClient EMS 漏洞遭利用，可实现远程代码执行

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月1日 09:20 湖北

一项被追踪为 **CVE-2026-21643**（CVSS 评分为 9.1）的 Fortinet FortiClient EMS 关键漏洞，目前正遭到积极利用。

Defused 研究人员警告称，威胁行为者正在利用 Fortinet FortiClient EMS 平台中的这一漏洞。

Defused 在 X 平台上发文表示：“Fortinet Forticlient EMS CVE-2026-21643——目前在美国网络安全和基础设施安全局（CISA）及其他已知被利用漏洞（KEV）列表中仍标记为未被利用——但根据我们的数据，首次利用早在 4 天前就已发生。攻击者可以通过 HTTP 请求中的‘Site’标头夹带 SQL 语句。根据 Shodan 的数据，近 1000 个 Forticlient EMS 实例暴露在公网。”

今年 2 月，Fortinet 发布紧急公告，修复了这一关键的 FortiClientEMS 漏洞。该漏洞属于 FortiClientEMS 中对 SQL 命令中特殊元素的中和不当问题（即“SQL 注入”）。未经身份验证的攻击者可利用该漏洞，通过特制的 HTTP 请求执行未经授权的代码或命令。

公告指出：“FortiClientEMS 中存在一个对 SQL 命令中特殊元素的中和不当漏洞（SQL 注入，CWE-89），可能允许未经身份验证的攻击者通过特制的 HTTP 请求执行未经授权的代码或命令。”

攻击一旦成功，攻击者便可在目标网络中获得初始立足点，进而进行横向移动或部署恶意软件。

该漏洞由 Fortinet 产品安全团队的 Gwendal Guégniaud 在内部发现并报告。

受影响版本如下：

今年 2 月，Fortinet 并未透露该漏洞是否已在野外被积极利用。

尽管该漏洞尚未出现在主要的已知被利用漏洞列表中，但现实中的攻击已被观察到。

Shadowserver 研究人员报告称，约有 2000 个 FortiClient EMS 实例暴露在网上，其中大部分位于美国（756 个）和欧洲（683 个）。

2024 年 3 月，美国网络安全和基础设施安全局（CISA）曾将另一个 FortiClient EMS SQL 注入漏洞（CVE-2023-48788）列入其已知被利用漏洞（KEV）目录。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《关键 Fortinet FortiClient EMS 漏洞遭利用，可实现远程代码执行》