はじめに

セキュリティベンダーのFortinetは、同社のFortiClientEMSに存在する、認証なしでコード実行を可能にする重大なSQLインジェクションの脆弱性（CVE-2026-21643）を修正するセキュリティアップデートをリリースしました。この脆弱性は、CVSSスコア9.1と評価されており、迅速な対応が求められます。

脆弱性の詳細

この脆弱性（CVE-2026-21643）は、FortiClientEMSにおける「SQLコマンドで使用される特殊要素の不適切な無害化（SQLインジェクション）」（CWE-89）に起因します。これにより、認証されていない攻撃者が特別に細工されたHTTPリクエストを送信することで、不正なコードまたはコマンドを実行できる可能性があります。

影響を受けるバージョンと対策

Fortinetによると、以下のFortiClientEMSバージョンが影響を受けます。

• FortiClientEMS 7.2: 影響なし
• FortiClientEMS 7.4.4: 7.4.5以降へのアップグレードが必要
• FortiClientEMS 8.0: 影響なし

この脆弱性はFortinet製品セキュリティチームのGwendal Guégniaud氏によって発見および報告されました。Fortinetは、この脆弱性が現在悪用されているという言及はしていませんが、ユーザーには迅速な修正プログラムの適用を強く推奨しています。

過去の関連脆弱性

今回の発表に加えて、Fortinetは先日、FortiOS、FortiManager、FortiAnalyzer、FortiProxy、FortiWebに影響を与える別の重大な脆弱性（CVE-2026-24858、CVSSスコア9.4）も修正しています。この脆弱性は、FortiCloud SSO認証が有効になっている場合、攻撃者がFortiCloudアカウントと登録済みのデバイスを使用して、他のアカウントに登録されているデバイスにログインすることを可能にするものでした。Fortinetは、この問題が実際に悪用され、悪意のあるアクターが永続性のためにローカル管理者アカウントを作成し、VPNアクセスを許可する構成変更を行い、ファイアウォール構成を窃取していたことを認めています。

結論

Fortinet製品のユーザーは、今回修正されたFortiClientEMSのSQLインジェクション脆弱性だけでなく、過去に報告されたSSO認証に関する脆弱性についても、最新のセキュリティ情報を確認し、速やかに適切な対策を講じることが極めて重要です。これにより、潜在的なサイバー攻撃からシステムを保護することができます。

元記事: https://thehackernews.com/2026/02/fortinet-patches-critical-sqli-flaw.html