Suivre 
Peu après notre récent reportage sur l’exploitation d’une faille zero-day à fort impact dans FortiOS SSO (CVE-2026-24858), les défenseurs font face à une autre priorité de correction urgente dans l’écosystème Fortinet. Le 6 février, Fortinet a publié une solution pour une vulnérabilité critique d’injection SQL qui peut être déclenchée à distance sans nécessiter d’authentification, pouvant potentiellement conduire à l’exécution non autorisée de code ou de commandes.
Bien qu’il n’y ait actuellement aucun signe d’exploitation dans la nature, le CVE-2026-21643 requiert une attention et une correction immédiates car l’injection SQL reste l’une des classes de vulnérabilités web les plus dangereuses. OWASP Top 10 2025 associe l’injection à 62 445 CVE connus, y compris plus de 14 000 problèmes d’injection SQL. Le risque est simple. Si une application laisse entrer des données non fiables jusqu’à l’interpréteur de base de données, un attaquant peut faire exécuter à la base de données des commandes non prévues, voler ou modifier des données, et, dans certains cas, escalader jusqu’à compromettre totalement le système.
Inscrivez-vous à la plateforme SOC Prime pour accéder à l’intelligence de détection en temps réel et à des cas d’utilisation prêts à l’emploi pour des risques émergents comme l’exploitation de vulnérabilités. Cliquez sur Explorer les détections pour voir la collection complète de règles filtrées par le tag “CVE”.
Toutes les règles sont compatibles avec plusieurs plateformes SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK®. Chaque règle inclut CTI des liens, des chronologies des attaques, des paramètres d’audit, des guides de triage, et d’autres métadonnées pertinentes.
Les cyber-défenseurs peuvent également utiliser Uncoder AI pour renforcer leur flux de travail d’ingénierie de détection. Générer des algorithmes de détection à partir de rapports de menaces brutes, activer des balayages rapides des IOC, prédire des tags ATT&CK, optimiser le code des requêtes avec des conseils IA, et les traduire à travers plusieurs langues SIEM, EDR et Data Lake.
Analyse de CVE-2026-21643
Le 6 février 2026, Fortinet a publié un avis décrivant le CVE-2026-21643 comme une neutralisation inappropriée des éléments spéciaux utilisés dans une commande SQL (injection SQL) dans FortiClient EMS, où un attaquant distant peut envoyer des requêtes HTTP spécialement conçues pour déclencher la faille. En raison du problème pré-auth, une interface administrative EMS exposée ou accessible devient une cible de grande valeur pour un accès initial, pouvant potentiellement conduire à un établissement rapide d’un point d’ancrage, à l’utilisation d’outillages supplémentaires, et à un mouvement latéral à partir d’un système qui a souvent une grande visibilité sur les points finaux.
CVE-2026-21643 obtient un score CVSS critique de 9,8, soulignant l’urgence de la correction. La bonne nouvelle pour les défenseurs est que le périmètre est clair. L’avis de Fortinet souligne que seul FortiClientEMS 7.4.4 est affecté et que la mise à jour vers la version 7.4.5 ou ultérieure règle le problème, tandis que les versions 7.2 et 8.0 ne sont pas concernées.
Renforcer les stratégies de cybersécurité proactives est crucial pour réduire les risques d’exploitation. En profitant de la plateforme d’intelligence de détection native à l’IA de SOC Prime pour une défense cyber de qualité entreprise, les organisations peuvent faire évoluer les opérations de détection et renforcer leur posture de sécurité. Inscrivez-vous maintenant pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise et pour accélérer la réponse lorsque de nouvelles menaces critiques comme CVE-2026-21643 apparaissent.
FAQ
Qu’est-ce que le CVE-2026-21643 et comment fonctionne-t-il ?
CVE-2026-21643 est une vulnérabilité critique d’injection SQL dans Fortinet FortiClientEMS 7.4.4. Le problème est causé par une gestion inappropriée des caractères spéciaux dans les commandes SQL, ce qui permet à un attaquant distant d’envoyer des requêtes HTTP spécialement conçues et potentiellement exécuter du code ou des commandes non autorisés.
Quand le CVE-2026-21643 a-t-il été découvert pour la première fois ?
Fortinet a publié un avis décrivant le CVE-2026-21643 le 6 février 2026, jour où la vulnérabilité a également été enregistrée par le NVD. Gwendal Guégniaud de l’équipe de sécurité des produits de Fortinet a été crédité pour avoir découvert et signalé la faille.
Quels risques présente le CVE-2026-21643 pour les systèmes ?
Le principal risque est la compromission à distance du serveur FortiClient EMS. Si une instance EMS vulnérable est accessible, un attaquant peut abuser de l’injection SQL via des requêtes HTTP conçues pour exécuter des actions non autorisées et potentiellement escalader à l’exécution de code ou de commandes. Cela peut mener à l’accès ou la manipulation de données, la disruption du service, et un point d’ancrage qui peut être utilisé pour pénétrer plus en profondeur dans l’environnement.
Le CVE-2026-21643 peut-il encore m’affecter en 2026 ?
Oui, si vous utilisez FortiClient EMS 7.4.4 et n’avez pas appliqué la correction. Fortinet indique que le problème est résolu dans la version 7.4.5 et les suivantes, et note que les versions 7.2 et 8.0 ne sont pas affectées.
Comment pouvez-vous vous protéger contre le CVE-2026-21643 ?
Mettez à jour FortiClient EMS à la version 7.4.5 ou ultérieure et limitez l’accès à l’interface web EMS aux seuls réseaux administratifs de confiance. Jusqu’à ce que la correction soit complète, augmentez la surveillance de l’hôte EMS et de son trafic web pour détecter des requêtes inhabituelles et des activités de processus inattendues.
