Компанія Defused, що спеціалізується на аналізі кіберзагроз, підтвердила активну експлуатацію критичної вразливості у продукті Fortinet FortiClient EMS. Вразливість отримала ідентифікатор CVE-2026-21643 і відноситься до класу SQL-ін’єкцій — атаки, при якій зловмисник підробляє запити до бази даних. Вона дозволяє неавторизованому атакуючому виконувати довільний код або команди на непатченому сервері через прості HTTP-запити до вебінтерфейсу FortiClient EMS. Зловмисники впроваджують шкідливі SQL-команди через HTTP-заголовок «Site», що оброблюється вразливим сервером

За даними Defused, перші факти експлуатації зафіксовані приблизно 26 березня 2026 року. Попри активні атаки, вразливість досі відсутня у каталозі CISA Known Exploited Vulnerabilities — це означає, що організації, які орієнтуються виключно на урядові списки при пріоритизації патчів, можуть не усвідомлювати реального ризику. За даними пошукового рушія Shodan, близько 1 000 екземплярів FortiClient EMS наразі відкрито доступні в інтернеті. Вразливість стосується FortiClient EMS версії 7.4.4. Fortinet розкрила її 6 лютого 2026 року, патч доступний у версії 7.4.5. Fortinet-продукти регулярно стають мішенню при атаках на корпоративні мережі: CISA раніше зафіксувала 24 вразливості Fortinet як активно експлуатовані, 13 з яких використовувалися у ransomware-атаках.