A Defused jelentése szerint a támadók aktívan kihasználják a Fortinet FortiClient EMS platformját érintő kritikus sérülékenységet. A CVE-2026-21643 azonosítón nyomon követett SQL-befecskendezési (SQL injection) hiba lehetővé teszi, hogy hitelesítés nélküli támadók tetszőleges kódot futtassanak vagy parancsokat hajtsanak végre a nem frissített rendszereken. A támadás alacsony komplexitású, és a FortiClient EMS grafikus webes felületét célozza, speciálisan kialakított HTTP-kérések alkalmazásával. A sebezhetőség jelenleg nem szerepel a CISA KEV katalógusban, azonban már észlelték, hogy a támadások során kihasználják.

A támadók a HTTP-kérések „Site” fejlécén keresztül képesek SQL-utasításokat befecskendezni a rendszerbe. Nyilvánosan elérhető adatok szerint jelentős számú érintett rendszer érhető el az interneten, amelyek nagy része az Egyesült Államokban és Európában található.

A sérülékenység a 7.4.4-es verziót érinti, és a 7.4.5-ös vagy újabb kiadásra történő frissítéssel javítható.

A vállalat egyelőre nem frissítette közleményét és nem minősítette a sérülékenységet aktívan kihasználtnak. Ugyanakkor a Fortinet termékeiben felfedezett sérülékenységeket gyakran használják vállalati hálózatok kompromittálására, zsarolóvírusos támadások és kiberkémkedési kampányok során, gyakran nulladik napi (zero-day) sebezhetőségként, még a javítások megjelenése előtt.

A közelmúltban a Fortinet a CVE-2026-24858 nulladik napi sérülékenység kockázatát úgy mérsékelte, hogy blokkolta a FortiCloud egyszeri bejelentkezési (SSO) kapcsolatait a sérülékeny firmware-verziókat futtató eszközök esetében.