FortiClient EMS İkinci Sıfır-Gün: CVE-2026-35616 ve CVE-2026-21643 Aynı Anda Aktif İstismar Altında
📅 4–5 Nisan 2026 · 📰 BleepingComputer / Help Net Security / Fortinet · TLP:WHITE
9.1
CVSS
CVE-2026-35616 (CVSS 9.1, CWE-284) — FortiClient EMS 7.4.5 ve 7.4.6'da API kimlik doğrulama bypass → ayrıcalık yükseltme → RCE. watchTowr honeypot'larında 31 Mart 2026'dan itibaren aktif istismar. GitHub'da PoC mevcut.
Aynı hafta önceden açıklanan CVE-2026-21643 (CVSS 9.1, SQL injection) da aktif istismar altına girdi. İki açığın birlikte zincirlenip zincirlenmediği bilinmiyor. Fortinet acil out-of-band hotfix yayımladı. Tam düzeltme v7.4.7'de.
FortiClient EMS tüm uç noktaları merkezi yönetir — başarılı istismar tüm managed endpoint'leri tehdit eder.
▸ ÖNERİLEN AKSİYONLAR
→FortiClient EMS 7.4.5/7.4.6 için hotfix'i anında uygulayın
→EMS yönetim arayüzüne internet erişimini kısıtlayın
→CVE-2026-21643 ve CVE-2026-35616 için SIEM detection rule ekleyin