O Diário

O Diário de Analistas
Vol. 2 | N. 4 | Pp. 61–62 | 2026 | ISSN xxxx-xxxx

Alerta: vulnerabilidade crítica no Fortinet FortiClient EMS

Publicado por: Adriano Cansian.
Data de publicação: 4 de abril de 2026.

A Fortinet divulgou o CVE‑2026‑35616 [1], uma vulnerabilidade crítica de controle de acesso inadequado afetando FortiClient EMS versões 7.4.5 e 7.4.6.

A falha pode permitir que um atacante não autenticado execute comandos não autorizados no servidor EMS por meio de requisições especialmente construídas.

Fortinet confirma atividade maliciosa no momento da divulgação

Identificador: CVE-2026-35616 [1]
Produto Afetado: FortiClient Endpoint Management Server (EMS)
Versões Vulneráveis: 7.4.5 até 7.4.6
Pontuação CVSS: Crítica estimada (*)
Vector de Ataque: Requisições forjadas remotas (não requer autenticação)
Data de Publicação: 2026-04-04
Gravidade: Crítica (execução não autenticada de comandos).
Produtos afetados: FortiClient EMS 7.4.5 e 7.4.6.

Fortinet confirma atividade maliciosa no momento da divulgação. Entretanto não encontramos PoC público disponível até o momento (4/4/2026 9:45 BRT). Repositórios como GitHub, Exploit-DB e feeds de threat intelligence (atualizados até o momenrto) não revelam proof-of-concept ou exploits publicamente divulgados. Entretando, não há garantia que não existam

(*) Não há vetor CVSS v4.0 disponível ainda para CVE-2026-35616. O NVD confirma que a avaliação CVSS 4.0 está como “N/A” (assessment pendente), pois o CVE foi publicado hoje (04/03/2026 no NVD). Nossa estimativa:

CVSS: 4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:U/RL:O/RC:C
Score estimado: 9.8-10.0 (baseado em RCE remoto não autenticado)

Correção

Correção: A Fortinet disponibilizou hotfixes corretivos e recomenda aplicação imediata das versões atualizadas mencionadas no boletim FG‑IR‑26‑099 [2].

Mitigação Imediata

1. Bloquear endpoints vulneráveis no firewall/WAF:

/api/monitor/ (endpoints específicos do EMS) /api/v2/monitor/ (versões expostas)

2. Desabilitar EMS público — Mover para rede interna segmentada

3. Monitorar logs por requisições anômalas 404/500 nos endpoints /api/

Indicadores de Comprometimento (IoC)

User-Agent suspeitos em logs EMS:
- Não-FortiClient UAs
- Ferramentas de scanning (nuclei, etc.)
- Requisições sem token JWT válido

Cronologia

03/04/2026 22:16 BRT (4/4/2026 01:36 UTC): Registro público do CVE‑2026‑35616 na base NVD
04/4/202: Publicação do aviso FG‑IR‑26‑099 no portal da Fortinet.

Referências:

[1] CVE-2026-35616 – https://nvd.nist.gov/vuln/detail/CVE-2026-35616

[2] Fortinet Security Advisory FG‑IR‑26‑099

Nota de transparência: Essa publicação NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.

Tags: Alerta, CVE, Cybersecurity, Fortinet, Vulnerabilidades.

Categorias: Alerta, CVE, Fortinet, Vulnerabilidade.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.

← Alerta: Nova campanha detectada pela Microsoft tem WhatsApp como vetor de ataque