FortinetのFortiClient EMS(Endpoint Management Server)における重大なセキュリティ欠陥により、組織はリモートコード実行攻撃の高いリスクにさらされています。
CVE-2026-21643として追跡されているこの脆弱性は、2026年2月6日に公開され、CVSSスコアは10点満点中9.1という深刻な評価を受けました。
問題の核心は、FortiClient EMSの管理インターフェースにおけるSQLインジェクション(SQLi)の脆弱性です。
SQLインジェクションは、攻撃者が保護されていない入力フィールドを通じてデータベースクエリに悪意のあるコードを紛れ込ませることで発生します。
ここでは、ソフトウェアがSQLコマンド内の特殊文字を適切にサニタイズできておらず、攻撃者がデータベースを乗っ取れる状態になっています。
CVE-2026-21643が特に警戒すべき点は何でしょうか? 認証が不要であることです。攻撃者は、細工した脆弱なサーバーへのHTTPリクエストを送ることで、ネットワーク越しにリモートから悪用できます。ログイン資格情報も物理的なアクセスも必要ありません。
成功すれば、攻撃者は不正なコードを実行でき、システムを完全に侵害できます。これにより、機密データの窃取、マルウェアの展開、あるいは他のネットワーク標的への横展開が可能になります。
この欠陥はFortiClient EMSバージョン7.4.4に深刻な影響を与えます。バージョン7.2および8.0は影響を受けず、FortiEMS Cloudの利用者も同様に無事です。
Fortinetは迅速に対応し、穴を塞ぐためにバージョン7.4.5をリリースしました。7.4.4を使用している場合は、今すぐ7.4.5以降へアップグレードしてください。
Fortinetの製品セキュリティ チームのGwendal Guégniaud氏が、FortiGuardアドバイザリFG-IR-25-1142で詳述されているとおり、このバグを社内で発見しました。発見からパッチ提供までの迅速な対応は、同社がこの問題をいかに深刻に受け止めているかを示しています。
この脆弱性は重要な教訓を浮き彫りにします。信頼されているエンドポイントツールであっても、継続的な警戒が必要です。このようなSQLiの欠陥は、初期のWebアプリから現代のエンタープライズ機器に至るまで、長年ソフトウェアを悩ませてきました。先回りしたパッチ適用と監視によって、攻撃者を寄せ付けないことができます。
翻訳元: https://cyberpress.org/forticlient-ems-vulnerability/