Уязвимость конфигурации rest-api-get и rest-api-set операционных систем FortiOS связана с раскрытием информации через регистрационные файлы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Использование рекомендаций:
https://fortiguard.fortinet.com/psirt/FG-IR-24-268
Компенсирующие меры:
1. Чтобы избежать записи токенов в лог при выполнении API-запросов, размещайте ваши API-токены в заголовке запроса, а не в URL-адресе.
2. Чтобы передать токен API в заголовке запроса, необходимо добавить в заголовок запроса следующее поле:
Authorization: Bearer <YOUR-API-TOKEN> [1]
3. Отключите ведение журналов REST API (настройка по умолчанию):
config log setting
set rest-api-get disable
set rest-api-set disable
end
| Балл | 7.1 — высокая опасность |