**Fortinet** ha lanzado parches críticos para abordar una falla de seguridad en **FortiClient EMS** que ya está siendo explotada. ### CVE-2026-35616: Bypass de Acceso a API Preautenticación La vulnerabilidad, designada **CVE-2026-35616** (puntuación CVSS: 9.1), es un bypass de acceso a API preautenticación que podría conducir a una escalada de privilegios. Según el aviso de **Fortinet**, esta vulnerabilidad de control de acceso inadecuado ([CWE-284](https://cwe.mitre.org/data/definitions/284.html)) puede permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes manipuladas. ### Versiones Afectadas y Mitigación El problema afecta a las versiones 7.4.5 a 7.4.6 de **FortiClient EMS**. Si bien se espera un parche completo en la versión 7.4.7, ya se ha lanzado un hotfix para abordar la vulnerabilidad. Se recomienda encarecidamente a los usuarios que apliquen el hotfix de inmediato. ### Cronología de Descubrimiento y Explotación **Simo Kohonen** de **Defused Cyber** y **Nguyen Duc Anh** son acreditados por el descubrimiento y reporte de la vulnerabilidad. **Defused Cyber** señaló la explotación zero-day de **CVE-2026-35616** a principios de esta semana en X. Según **watchTowr**, los intentos de explotación se registraron por primera vez contra sus honeypots el 31 de marzo de 2026. ### Impacto Potencial La explotación exitosa de esta falla permite a un atacante no autenticado eludir la autenticación y autorización de la API, lo que permite la ejecución de código o comandos maliciosos a través de solicitudes manipuladas. **Fortinet** insta a todos los clientes vulnerables a instalar el hotfix para **FortiClient EMS** 7.4.5 y 7.4.6 de inmediato, ya que la compañía ha observado explotación activa en la naturaleza. ### Contexto: Otra Vulnerabilidad Reciente en FortiClient EMS Este desarrollo sigue al reciente parcheo y posterior explotación activa de otra vulnerabilidad crítica en **FortiClient EMS** (**CVE-2026-21643**, puntuación CVSS: 9.1). Actualmente se desconoce si el mismo actor de amenazas está detrás de la explotación de ambas vulnerabilidades o si se están utilizando conjuntamente. ### Recomendaciones Dada la gravedad de estas vulnerabilidades, se recomienda a los usuarios que actualicen sus instalaciones de **FortiClient EMS** a la última versión lo antes posible. **Benjamin Harris**, CEO y fundador de **watchTowr**, enfatizó la urgencia, declarando: "El momento del aumento de la explotación en la naturaleza de este zero-day probablemente no sea una coincidencia." Agregó: "Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad tienen la mitad de su fuerza, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Pascua, como cualquier otro feriado, representa una oportunidad." "Lo decepcionante es el panorama general. Esta es la segunda vulnerabilidad no autenticada en **FortiClient EMS** en cuestión de semanas." "Por lo tanto, una vez más, las organizaciones que ejecutan **FortiClient EMS** y están expuestas a Internet deben tratar esto como una situación de respuesta de emergencia, no como algo que se abordará el martes por la mañana. Apliquen el hotfix. Los atacantes ya llevan ventaja."