Fortinet、管理サーバ製品の重大欠陥を公表 直ちにアップデートを：セキュリティニュースアラート

FortinetはFortiClientEMSにSQLインジェクションの脆弱性が存在すると発表した。CVSSスコアは9.8と高く、未認証でリモートコード実行の恐れがある。影響を受けるユーザーは速やかな更新が求められる。

[ITmedia エンタープライズ編集部]

　Fortinetは2026年2月6日（現地時間）、「FortiClient」向け専用サーバ「FortiClientEMS」に深刻な脆弱（ぜいじゃく）性が存在することを発表した。悪用された場合、任意のコードやコマンドが実行される可能性がある。

FortiClientEMSに深刻度9.8の脆弱性　SQLインジェクション攻撃の恐れ

　報告された脆弱性は次の通りだ。

• CVE-2026-21643：　SQLインジェクションの脆弱性。SQLコマンドで使用される特殊要素の不適切な無害化に起因する脆弱性とされ、認証を必要としない第三者が細工したHTTPリクエストを送信することで、リモートコード実行（RCE）やコマンドを実行できる可能性がある。Fortinetは共通脆弱性評価システム（CVSS）v3.1のスコアを9.8としている

　この脆弱性はGUIコンポーネントに存在し、入力値の検証が不十分な点を突く攻撃が成立する。攻撃者は認証情報を持たない状態でも、特定の形式で作成したHTTPリクエストを使うことで、データベースクエリを操作できる恐れがある。影響としてシステムの機密性、完全性、可用性に深刻な影響を与える可能性が示唆されている。

　影響を受けるFortiClientEMSのバージョンは次の通りだ。

• FortiClientEMS 7.4.4

　修正後のバージョンは次の通りだ。

• FortiClientEMS 7.4.5およびこれ以降のバージョン

　FortiClientEMS 8.0系または7.2系については影響を受けないとされ、対応は不要とされている。本件は同社の製品セキュリティチームによる内部調査で発見したとしており、公開時点で本脆弱性の悪用を示唆する報告については言及されていない。

　FortiClientEMSはエンドポイント保護の集中管理を担う製品であり、管理サーバが侵害された場合、組織内の端末管理やセキュリティ運用に広範な影響が及ぶ可能性がある。Fortinetのアドバイザリーには追加の緩和策や暫定回避策の記載はなく、修正済みバージョンへのアップグレードが唯一の対処方法とみられる。対象バージョンを利用しているユーザーには、提示された修正バージョンへの更新が求められる。