**Fortinet** a publié des correctifs critiques pour remédier à une faille de sécurité dans **FortiClient EMS** qui est déjà exploitée. ### CVE-2026-35616 : Contournement d'accès API en pré-authentification La vulnérabilité, désignée **CVE-2026-35616** (score CVSS : 9.1), est un contournement d'accès API en pré-authentification qui pourrait entraîner une escalade de privilèges. Selon l'avis de **Fortinet**, cette vulnérabilité de contrôle d'accès inapproprié ([CWE-284](https://cwe.mitre.org/data/definitions/284.html)) peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes spécialement conçues. ### Versions affectées et mesures d'atténuation Le problème affecte les versions 7.4.5 à 7.4.6 de **FortiClient EMS**. Bien qu'un correctif complet soit attendu dans la version 7.4.7, un hotfix a déjà été publié pour remédier à la vulnérabilité. Il est fortement recommandé aux utilisateurs d'appliquer immédiatement le hotfix. ### Chronologie de découverte et d'exploitation **Simo Kohonen** de **Defused Cyber** et **Nguyen Duc Anh** sont crédités de la découverte et du signalement de la vulnérabilité. **Defused Cyber** a noté l'exploitation d'une zero-day de **CVE-2026-35616** plus tôt cette semaine sur X. Selon **watchTowr**, les tentatives d'exploitation ont été enregistrées pour la première fois contre ses honeypots le 31 mars 2026. ### Impact potentiel L'exploitation réussie de cette faille permet à un attaquant non authentifié de contourner l'authentification et l'autorisation de l'API, permettant l'exécution de code ou de commandes malveillantes via des requêtes spécialement conçues. **Fortinet** exhorte tous les clients concernés à installer immédiatement le hotfix pour **FortiClient EMS** 7.4.5 et 7.4.6, car l'entreprise a observé une exploitation active dans la nature. ### Contexte : Une autre vulnérabilité récente dans FortiClient EMS Ce développement fait suite au récent correctif et à l'exploitation active subséquente d'une autre vulnérabilité critique dans **FortiClient EMS** (**CVE-2026-21643**, score CVSS : 9.1). On ignore actuellement si le même acteur de menace est à l'origine de l'exploitation des deux vulnérabilités ou si elles sont utilisées conjointement. ### Recommandations Compte tenu de la gravité de ces vulnérabilités, il est conseillé aux utilisateurs de mettre à jour leurs installations **FortiClient EMS** vers la dernière version dès que possible. **Benjamin Harris**, PDG et fondateur de **watchTowr**, a souligné l'urgence, déclarant : « Le moment de la montée en puissance de l'exploitation de cette zero-day dans la nature n'est probablement pas une coïncidence. » Il a ajouté : « Les attaquants ont montré à plusieurs reprises que les week-ends de vacances sont le meilleur moment pour agir. Les équipes de sécurité sont à effectif réduit, les ingénieurs d'astreinte sont distraits, et le délai entre la compromission et la détection passe de quelques heures à plusieurs jours. Pâques, comme toute autre fête, représente une opportunité. » « Ce qui est décevant, c'est la perspective globale. Il s'agit de la deuxième vulnérabilité non authentifiée dans **FortiClient EMS** en quelques semaines. » « Ainsi, une fois de plus, les organisations qui exécutent **FortiClient EMS** et sont exposées à Internet devraient traiter cela comme une situation d'urgence, pas comme quelque chose à régler le mardi matin. Appliquez le hotfix. Les attaquants ont déjà une longueur d'avance. »