ГлавнаяБаза уязвимостей БДУ → BDU:2026-00835
7.1высокая

BDU:2026-00835

Уязвимость конфигурации rest-api-get и rest-api-set операционных систем FortiOS, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2026-01-27
Описание

Уязвимость конфигурации rest-api-get и rest-api-set операционных систем FortiOS связана с раскрытием информации через регистрационные файлы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
FortiPAM (от 1.0.0 до 1.0.3 включительно)FortiPAM (1.2.0)FortiPAM (от 1.1.0 до 1.1.2 включительно)FortiOS (от 7.2.0 до 7.2.7 включительно)FortiOS (от 7.4.0 до 7.4.3 включительно)FortiProxy (от 7.4.0 до 7.4.3 включительно)FortiProxy (от 7.2.0 до 7.2.11 включительно)FortiOS (от 7.0.4 до 7.0.17 включительно)FortiPAM (от 1.4.0 до 1.4.3 включительно)FortiPAM (от 1.3.0 до 1.3.1 включительно)FortiSASE (24.1.b)FortiSRA (от 1.4.0 до 1.4.3 включительно)
Способ устранения

Использование рекомендаций:
https://fortiguard.fortinet.com/psirt/FG-IR-24-268

Компенсирующие меры:
1. Чтобы избежать записи токенов в лог при выполнении API-запросов, размещайте ваши API-токены в заголовке запроса, а не в URL-адресе.
2. Чтобы передать токен API в заголовке запроса, необходимо добавить в заголовок запроса следующее поле:
Authorization: Bearer <YOUR-API-TOKEN> [1]
3. Отключите ведение журналов REST API (настройка по умолчанию):
config log setting
set rest-api-get disable
set rest-api-set disable
end

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://fortiguard.fortinet.com/psirt/FG-IR-24-268
Проверьте безопасность своего сайта и почты → Полная проверка домена