Fortinetは2026年4月4日、FortiClient EMSのAPIに存在する重大な脆弱性 FG-IR-26-099 を公表しました。脆弱性の内容は Improper Access Control で、細工されたリクエストにより、未認証の攻撃者が認可されていないコードやコマンドを実行できる可能性があると説明しています。Fortinetは深刻度を Critical、CVSS v3スコアを9.1とし、CVE-2026-35616を割り当てています。
概要
公表されたのは、FortiClient EMSのAPIにおける認証と認可の回避につながる問題です。未認証の状態から不正なリクエストを送ることで、本来許可されていないコード実行やコマンド実行に至る可能性があるとされています。攻撃タイプは Unauthenticated、影響は Escalation of privilege と記載されています。
Fortinetは発見者 Defused の Simo Kohonen 氏と Nguyen Duc Anh 氏への謝辞を掲載しています。
影響を受けるバージョン
Fortinetによると、影響を受けるのは FortiClient EMS 7.4 系のうち 7.4.5 から 7.4.6 までです。一方、FortiClient EMS 7.2 は影響を受けないと明記されています。
対策
それぞれのリリースノートで提供されているホットフィックスを適用すること、または今後提供される 7.4.7 以降へ更新することです。
Fortinetは、当面はこのホットフィックスで問題を完全に防止できると説明しています。
情シスや運用部門の実務としては、まず対象バージョンの棚卸しを行い、該当環境があればホットフィックス適用を優先するべきです。








