FortiClient EMS 7.4.4 expone SQL injection pre-autenticación — CVSS 9.1, parche disponible

Fortinet publicó el martes un parche crítico para FortiClient Enterprise Management Server (EMS) que corrige una vulnerabilidad de inyección SQL explotable sin autenticación previa. El fallo, identificado como CVE-2026-21643, alcanza una puntuación CVSS de 9.1 y afecta exclusivamente a la versión 7.4.4 del producto cuando el modo multi-tenant está habilitado. La compañía recomendó actualizar de inmediato a la versión 7.4.5, la única que implementa la sanitización adecuada del input.

La raíz del problema se encuentra en una refactorización del middleware que conecta las peticiones web con la base de datos PostgreSQL. Investigadores de Bishop Fox determinaron que el sistema procesa el encabezado HTTP "Site" —utilizado para identificar el tenant correspondiente, sin ninguna validación, inyectándolo directamente en una consulta que establece el search path de la base de datos. Como esta operación ocurre antes de cualquier verificación de credenciales, un atacante remoto puede ejecutar comandos SQL arbitrarios con solo enviar una petición HTTP craft al endpoint público /api/v1/init_consts.

El vector de ataque es particularmente peligroso por dos razones.

• Primero, el endpoint afectado no implementa rate-limiting ni mecanismos de bloqueo, permitiendo extracción masiva de datos sin restricciones.
• Segundo, el sistema devuelve mensajes de error de la base de datos directamente en la respuesta HTTP, lo que facilita técnicas de extracción basada en errores en lugar de depender de métodos más lentos como blind SQL injection o time-based attacks. Un atacante podría obtener credenciales de administrador, certificados digitales, inventario completo de endpoints gestionados y políticas de seguridad desplegadas en la organización.

El "radio de explosión" de una explotación exitosa es considerable. Dado que el usuario de base de datos opera con privilegios elevados, los comandos inyectados podrían extenderse al sistema operativo subyacente, permitiendo movimiento lateral dentro de la red corporativa.

FortiClient EMS funciona como el servidor centralizado que gestiona los agentes de seguridad en todos los endpoints de una organización, lo que significa que comprometer este servidor equivale a obtener control sobre toda la flota de dispositivos gestionados.

La buena noticia es que el alcance del fallo es limitado. Solo afecta a la versión 7.4.4 con la funcionalidad "Sites" activada. Las versiones anteriores y la rama 8.0 utilizan arquitecturas de código diferentes y no son vulnerables. Las organizaciones que no requieren multi-tenancy pueden mitigar el riesgo deshabilitando la funcionalidad Sites o restringiendo el acceso HTTPS al servidor EMS únicamente a redes de gestión autorizadas. Para detección de intrusión, los equipos de seguridad deben revisar los logs de Apache buscando patrones sospechosos: peticiones repetidas a /api/v1/init_consts, tiempos de respuesta inusualmente largos o picos en errores HTTP 500.

La actualización a FortiClient EMS 7.4.5 reemplaza la interpolación de strings vulnerable por consultas parametrizadas, eliminando completamente el vector de inyección. Fortinet no ha reportado evidencia de explotación activa en el wild al momento del disclosure, pero dada la criticidad del fallo y la simplicidad de su explotación, se recomienda parchear todos los servidores EMS expuestos a internet dentro de las próximas 24 horas.

Para entornos donde el parcheo inmediato no sea viable, implementar reglas de Web Application Firewall que validen el encabezado "Site" bloqueando keywords SQL y caracteres especiales proporciona una mitigación temporal efectiva.