HackerNews 编译，转载请注明出处：

Fortinet周末紧急发布补丁，修复FortiClient企业管理系统（EMS）中已被作为零日利用的漏洞。

...

HackerNews 编译，转载请注明出处：

Fortinet FortiClient EMS平台的关键漏洞CVE-2026-21643（CVSS评分9.1）正遭主动利用，攻击者可通过SQL注入执行远程代码。

Defused研究人员警告称，威胁行为体正在利用Fortinet FortiClient EMS平台的该漏洞。Defused在X平台发文称："Fortinet FortiClient EMS CVE-2026-21643——目前CISA及其他已知被利用漏洞（KEV）列表标记为未利用——据我们数据显示已于4天前首次遭利用。攻击者可通过HTTP请求中的'Site'头走私SQL语句。据Shodan统计，近1000个FortiClient EMS实例公开暴露。"

今年2月，Fortinet发布紧急公告修复该关键漏洞。该漏洞为FortiClientEMS中SQL命令特殊元素处理不当（"SQL注入"）问题，未经认证的攻击者可触发该漏洞，通过特制HTTP请求执行未授权代码或命令。

公告指出："FortiClientEMS中SQL命令特殊元素处理不当（'SQL注入'）漏洞[CWE-89]可能允许未经认证的攻击者通过特制HTTP请求执行未授权代码或命令。"

成功攻击可使攻击者在目标网络中获得初始立足点，实现横向移动或恶意软件部署。

该漏洞由Fortinet产品安全团队Gwendal Guégniaud内部发现并报告。

受影响版本：

...

HackerNews 编译，转载请注明出处：

Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。

...

HackerNews 编译，转载请注明出处：

Fortinet 确认已修补设备仍遭 FortiCloud 单点登录功能攻击

与近期出现的 FortiCloud 单点登录漏洞类似，这些攻击绕过了身份验证。

...

HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

Fortinet和Ivanti宣布了2025年10月的周二补丁更新，修复了其产品中的许多漏洞。

...

HackerNews 编译，转载请注明出处：

一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证（PoC）利用代码。该漏洞允许远程攻击者绕过身份验证。

...

HackerNews 编译，转载请注明出处：

本月上旬，针对Fortinet SSL VPN的暴力破解攻击出现大规模激增，随后攻击目标转向FortiManager，这种有预谋的转向在历史上往往预示着新漏洞即将被披露。

...

HackerNews 编译，转载请注明出处：

...