**Fortinet** lançou patches críticos para corrigir uma falha de segurança no **FortiClient EMS** que já está sendo explorada. ### CVE-2026-35616: Bypass de Acesso à API Pré-Autenticação A vulnerabilidade, designada **CVE-2026-35616** (pontuação CVSS: 9.1), é um bypass de acesso à API pré-autenticação que pode levar à escalada de privilégios. De acordo com o aviso da **Fortinet**, esta vulnerabilidade de controle de acesso inadequado ([CWE-284](https://cwe.mitre.org/data/definitions/284.html)) pode permitir que um atacante não autenticado execute código ou comandos não autorizados por meio de requisições maliciosas. ### Versões Afetadas e Mitigação O problema afeta as versões 7.4.5 a 7.4.6 do **FortiClient EMS**. Embora um patch completo seja esperado na versão 7.4.7, um hotfix já foi lançado para corrigir a vulnerabilidade. Os usuários são fortemente aconselhados a aplicar o hotfix imediatamente. ### Linha do Tempo de Descoberta e Exploração **Simo Kohonen** da **Defused Cyber** e **Nguyen Duc Anh** são creditados pela descoberta e relato da vulnerabilidade. A **Defused Cyber** notou exploração zero-day da **CVE-2026-35616** no início desta semana no X. De acordo com a **watchTowr**, as tentativas de exploração foram registradas pela primeira vez contra seus honeypots em 31 de março de 2026. ### Impacto Potencial A exploração bem-sucedida desta falha permite que um atacante não autenticado contorne a autenticação e autorização da API, possibilitando a execução de código ou comandos maliciosos por meio de requisições maliciosas. A **Fortinet** exorta todos os clientes vulneráveis a instalarem o hotfix para **FortiClient EMS** 7.4.5 e 7.4.6 imediatamente, pois a empresa observou exploração ativa na natureza. ### Contexto: Outra Vulnerabilidade Recente no FortiClient EMS Este desenvolvimento segue o recente patch e subsequente exploração ativa de outra vulnerabilidade crítica no **FortiClient EMS** (**CVE-2026-21643**, pontuação CVSS: 9.1). Atualmente, não se sabe se o mesmo ator de ameaça está por trás da exploração de ambas as vulnerabilidades ou se elas estão sendo usadas em conjunto. ### Recomendações Dada a gravidade dessas vulnerabilidades, os usuários são aconselhados a atualizar suas instalações do **FortiClient EMS** para a versão mais recente o mais rápido possível. **Benjamin Harris**, CEO e fundador da **watchTowr**, enfatizou a urgência, afirmando: "O momento do aumento da exploração na natureza deste zero-day provavelmente não é coincidência." Ele acrescentou: "Os atacantes mostraram repetidamente que os fins de semana de feriado são o melhor momento para agir. As equipes de segurança estão com metade da força, os engenheiros de plantão estão distraídos e a janela entre a compromisso e a detecção se estende de horas para dias. A Páscoa, como qualquer outro feriado, representa uma oportunidade." "O que é decepcionante é o quadro geral. Esta é a segunda vulnerabilidade não autenticada no **FortiClient EMS** em questão de semanas." "Portanto, mais uma vez, as organizações que executam **FortiClient EMS** e estão expostas à Internet devem tratar isso como uma situação de resposta de emergência, não algo para resolver na terça-feira de manhã. Aplique o hotfix. Os atacantes já estão um passo à frente."