Fortinet於4月5日（週六）罕見發布緊急安全公告，揭露FortiClient Endpoint Management Server（EMS）中的嚴重零日漏洞CVE-2026-35616。該漏洞為不當存取控制問題，CVSS評分高達9.1（Critical），攻擊者無需認證即可透過精心構造的請求執行任意程式碼或命令。Fortinet確認此漏洞已被野外利用，並強烈建議運行FortiClient EMS 7.4.5與7.4.6版本的客戶立即安裝熱修補（hotfix）。即將推出的7.4.7版本也將包含此修補。

 

漏洞發現者為Defused創辦人兼執行長Simo Kohonen與資安研究員Nguyen Duc Anh。Kohonen向Dark Reading表示，目前利用活動似乎相當有限，主要來自單一攻擊來源。「到目前為止，我們尚未看到其他攻擊者利用此零日漏洞，這是好消息，因為許多組織因週末與假期尚未完成修補。」

 

CVE-2026-35616被描述為「前認證API存取繞過」（pre-authentication API access bypass），允許攻擊者完全繞過API授權機制。Defused透過即將推出的Radar功能發現此漏洞，該功能為大型異常偵測器，能從大量蜜罐資料中找出零日漏洞與有趣趨勢。

 

美國網路安全暨基礎設施安全局（CISA）已於4月6日將CVE-2026-35616列入「已知被利用漏洞」（KEV）目錄，聯邦民間行政部門（FCEB）機構須在4月9日前完成修補或緩解措施。

 

Tenable資深研究工程師Scott Caveza在4月6日部落格指出，GitHub上已出現公開概念驗證（PoC）程式碼，雖然尚未完全驗證，但預期隨著更多利用程式釋出，攻擊活動將持續增加。「鑑於Fortinet產品過去被快速利用的紀錄，以及先前多個漏洞已有公開利用程式，我們預期此次攻擊活動將持續擴大。」

 

此漏洞是Fortinet近期連續遭受野外利用的最新案例：

 

Fortinet產品已成為多種威脅行為者熱門目標，無論是否有新CVE，攻擊者均快速利用已知漏洞，讓組織修補時間極為緊迫。

 

對台灣影響值得高度重視。台灣企業與政府單位廣泛部署FortiClient EMS進行端點管理，許多系統可能暴露管理介面或尚未更新。若CVE-2026-35616遭進一步利用，可能導致端點遭完全控制、憑證外洩或成為橫向移動跳板，嚴重影響企業網路安全與資料保護。

 

Fortinet建議客戶立即採取以下行動：

 

Kohonen提醒：「雖然目前利用活動有限，但Fortinet產品長期被快速攻擊的紀錄顯示，修補速度至關重要。組織應優先處理此類高危零日漏洞。」

 

CISA已將此漏洞列入KEV目錄，顯示其嚴重性獲得官方高度重視。台灣企業若尚未修補，應視為最高優先級緊急任務處理，避免成為下一個被鎖定的目標。

 

 

出處： 基於Dark Reading文章《Fortinet Issues Emergency Patch for FortiClient Zero-Day》，作者Rob Wright，發布日期2026年4月7日；並參考Fortinet官方安全公告、Defused研究員Simo Kohonen訪談、Tenable資深研究工程師Scott Caveza部落格，以及CISA KEV目錄更新。