CVE-2026-21742
ŚrednieCVSS 5.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność w Fortinet FortiSOAR (wersje PaaS i on-premise) umożliwia uwierzytelnionemu atakującemu odczytanie haseł w postaci jawnego tekstu w odpowiedziach na zapytania Secure Message Exchange i Radius, jeśli są skonfigurowane. Problem dotyczy przesyłania wrażliwych informacji w niezabezpieczonej formie.
Ocena ryzyka
Organizacja narażona jest na wyciek haseł używanych w integracjach z Secure Message Exchange i Radius, co może prowadzić do nieautoryzowanego dostępu do systemów i eskalacji uprawnień.
Rekomendacja
Zaleca się natychmiastową aktualizację FortiSOAR do wersji załatanej (np. 7.6.4 lub nowszej dla PaaS i 7.6.3 dla on-premise) oraz weryfikację konfiguracji Secure Message Exchange i Radius pod kątem przechowywania haseł w postaci jawnej.
Oryginalny opis (angielski, źródło NVD)
A cleartext transmission of sensitive information vulnerability in Fortinet FortiSOAR PaaS 7.6.0 through 7.6.3, FortiSOAR PaaS 7.5.0 through 7.5.2, FortiSOAR PaaS 7.4 all versions, FortiSOAR PaaS 7.3 all versions, FortiSOAR on-premise 7.6.0 through 7.6.2, FortiSOAR on-premise 7.5.0 through 7.5.1, FortiSOAR on-premise 7.4 all versions, FortiSOAR on-premise 7.3 all versions may allow an authenticated attacker to view cleartext password in response for Secure Message Exchange and Radius queries, if configured

