Fortinet heeft een waarschuwing afgegeven voor een ernstig beveiligingsprobleem in FortiClientEMS dat SQL Injection mogelijk maakt. Twee jaar geleden werd een vergelijkbare kwetsbaarheid actief uitgebuit. FortiClient EMS stelt beheerders in staat om systemen met FortiClient-software op afstand te beheren, inclusief functies zoals antivirus, webfilters, VPN en updates.

Het Product Security Incident Response Team (PSIRT) van Fortinet meldt dat de admin-interface van FortiClientEMS kwetsbaar is voor SQL Injection, aangeduid als CVE-2026-21643. Verdere details ontbreken momenteel, omdat de link naar het beveiligingsbulletin niet werkt. Twee jaar geleden waarschuwde Fortinet voor misbruik van een andere SQL Injection kwetsbaarheid (CVE-2023-48788), waarna de Australische overheid organisaties opriep om snel te patchen en systemen te controleren. SQL Injection stelt aanvallers in staat om SQL-opdrachten uit te voeren, een probleem dat sinds 1998 bekend is, maar nog steeds voorkomt door onveilige programmeerpraktijken en onvoldoende applicatiecontrole.