CVE-2026-35616 y CVE-2026-24858 de Fortinet

CVE-2026-35616 y CVE-2026-24858 ambas ya se pueden investigar con bastante contexto útil, y las dos parecen afectar ecosistemas Fortinet, pero en superficies distintas. CVE-2026-35616 afecta FortiClient EMS y se ha reportado como explotada activamente; CVE-2026-24858 afecta el flujo SSO de FortiCloud/Fortinet y también tuvo impacto crítico, con reportes de abuso y mitigaciones urgentes.

CVE-2026-35616

Es una vulnerabilidad de improper access control en FortiClient EMS que permite a un atacante remoto no autenticado enviar peticiones manipuladas para ejecutar comandos o código no autorizado en el servidor EMS. Fortinet publicó un hotfix de emergencia y se indicó explotación en el mundo real; además, CISA la añadió a su catálogo KEV el 6 de abril de 2026. Las versiones mencionadas como afectadas incluyen FortiClient EMS 7.4.5 y 7.4.6.

CVE-2026-24858

Es un authentication bypass en el mecanismo de FortiCloud SSO, clasificado como CWE-288, que puede permitir acceso a dispositivos o servicios de otras cuentas cuando el SSO de FortiCloud está habilitado. INCIBE la cataloga como crítica y enumera un rango amplio de productos Fortinet afectados, incluyendo FortiAnalyzer, FortiManager, FortiOS, FortiProxy y FortiWeb, con múltiples ramas de versiones vulnerables. Hay reportes de mitigación temporal por parte de Fortinet y de abuso dirigido, aunque la evidencia pública de explotación masiva parece menos consolidada que en CVE-2026-35616.

Diferencias clave

CVE	Producto/s	Tipo de fallo	Estado	Riesgo principal
CVE-2026-35616	FortiClient EMS	Control de acceso incorrecto	Explotada activamente	RCE / ejecución de comandos no autorizada
CVE-2026-24858	FortiCloud SSO y varios productos Fortinet	Bypass de autenticación	Crítica, con mitigaciones urgentes	Acceso no autorizado a cuentas o dispositivos

Qué revisaría primero

1. Inventario exacto de productos Fortinet expuestos.
2. Versiones instaladas y si están dentro de los rangos vulnerables.
3. Si FortiCloud SSO está habilitado en tus equipos, porque eso cambia mucho la superficie de ataque de CVE-2026-24858.
4. Si FortiClient EMS está accesible desde redes no confiables, porque CVE-2026-35616 fue explotada activamente.

Resultado práctico

Si tu objetivo es priorización defensiva, CVE-2026-35616 merece atención inmediata por explotación activa y capacidad de ejecución remota. CVE-2026-24858 también merece revisión urgente, sobre todo si administras FortiOS/FortiManager/FortiAnalyzer/FortiProxy/FortiWeb con SSO de FortiCloud habilitado.

Resumen ejecutivo

CVE-2026-35616 es la más urgente desde el punto de vista operativo porque afecta FortiClient EMS, permite omitir controles de autenticación/autorización y fue explotada activamente en el mundo real. CVE-2026-24858 es una vulnerabilidad crítica de bypass de autenticación en FortiCloud SSO que puede dar acceso a dispositivos de otras cuentas cuando el SSO está habilitado, y también figuró en catálogos de explotación conocida.

CVE-2026-35616

Afecta a Fortinet FortiClient EMS 7.4.5 y 7.4.6, y la descripciones públicas la sitúan como un fallo de improper access control en la API que permite a un atacante remoto no autenticado ejecutar comandos o código no autorizado mediante peticiones manipuladas. Las fuentes coinciden en una severidad crítica, con CVSS 9.1 según el aviso del fabricante y reportes de explotación activa desde, al menos, el 31 de marzo de 2026. Fortinet publicó hotfixes fuera de banda y recomendó actualizar a 7.4.7 o superior; para ramas afectadas se mencionan hotfixes específicos como 7.4.5.2111 y 7.4.6.2170.[^10]

CVE-2026-24858

Esta CVE afecta al mecanismo de FortiCloud SSO y se describe como un bypass de autenticación usando una ruta o canal alternativo, clasificado como CWE-288. El impacto es especialmente sensible porque un atacante con cuenta FortiCloud y un dispositivo registrado puede acceder a otros dispositivos de otras cuentas si el SSO está activado; además, Fortinet llegó a deshabilitar temporalmente ese SSO y luego lo reactivó con bloqueo para versiones vulnerables. Las familias afectadas citadas en las fuentes incluyen FortiOS, FortiAnalyzer, FortiManager, FortiProxy y FortiWeb, con múltiples rangos de versión según producto.[^11]

Exposición y riesgo

En CVE-2026-35616 el vector es de red, sin autenticación y sin interacción del usuario, por lo que una exposición pública del EMS eleva mucho el riesgo inmediato.[^12] En CVE-2026-24858 el riesgo depende de si FortiCloud SSO está habilitado; si lo está, el atacante puede aprovechar un bypass de autenticación para entrar en dispositivos ajenos dentro del ecosistema Fortinet. En entornos corporativos, la segunda es especialmente peligrosa cuando el SSO se habilitó por flujo de registro desde GUI sin que el equipo de seguridad lo advirtiera.

Verificación rápida

1. Identificar si existe FortiClient EMS expuesto en la red o accesible desde Internet.
2. Confirmar si la versión instalada es 7.4.5 o 7.4.6; si lo es, aplicar el hotfix o subir a 7.4.7+.
3. Revisar si hay FortiCloud SSO habilitado en FortiOS, FortiManager, FortiAnalyzer, FortiProxy o FortiWeb.
4. Validar si la versión del producto cae dentro de los rangos afectados por CVE-2026-24858 antes de mantener SSO activo.[^11]
5. Buscar actividad anómala en sesiones de administración, cambios de configuración o accesos desde cuentas FortiCloud que no correspondan al patrón normal.

Mitigaciones

Para CVE-2026-35616, la acción prioritaria es parchear o aplicar el hotfix oficial sin demora, ya que hay explotación activa confirmada.[^10] Para CVE-2026-24858, conviene deshabilitar temporalmente FortiCloud SSO si el negocio lo permite, o al menos confirmar que solo opera en versiones corregidas y con la opción administrativa de login por SSO restringida. En ambos casos, segmentar el acceso administrativo y limitar la exposición de interfaces de gestión reduce el impacto si el producto aún no está actualizado.

Priorización

Si administras ambos productos, el orden de remediación recomendado es primero CVE-2026-35616 por la explotación activa y la posibilidad de ejecución remota no autenticada, y después CVE-2026-24858 por su capacidad de acceso cruzado vía SSO y su presencia en múltiples plataformas Fortinet. Si solo tienes uno de los dos en tu entorno, el criterio de prioridad cambia según exposición: EMS expuesto públicamente o SSO habilitado en versiones vulnerables deben tratarse como incidentes urgentes.