CVE-2026-21643
KEV
🔴 Łataj teraz
Wstrzyknięcie SQL w Fortinet FortiClientEMS umożliwia zdalne wykonanie nieautoryzowanego kodu.
CVSS
9.8
EPSS
33.9%
Exploit
weaponized
Vendor
fortinet
Opis źródłowy (NVD)
An improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortinet FortiClientEMS 7.4.4 may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.
exploit sql-injection
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Tak |
| FIRST EPSS (prawdopodobieństwo exploita) | 33.9% |
| Opublikowano (NVD) | 2026-02-06 09:15:49 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-14 14:21:18 UTC |
Referencje
- https://fortiguard.fortinet.com/psirt/FG-IR-25-1142 (psirt@fortinet.com) [Vendor Advisory]
- https://github.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.py (134c704f-9b21-4f2e-91b3-4a467353bcc0) [Exploit]
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-21643 (134c704f-9b21-4f2e-91b3-4a467353bcc0) [US Government Resource]