[TLP:CLEAR] Palo Alto Networks Expedition opravuje 5 zraniteľností
Palo Alto Networks verziou 1.2.101 opravuje 5 zraniteľností v produkte Expedition. Táto verzia je zároveň poslednou vydanou verziou, pretože uvedený produkt je na konci životnosti. Ako dočasnú opravu pre všetky zverejnené zraniteľnosti je možné zamedziť prístup z nedôveryhodných zdrojov [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať SQL injection útok, čo spôsobí únik citlivých informácií ako sú hashe hesiel a prístupové API kľúče [1].
Zraniteľnosť sa nachádza v produkte Palo Alto Networks Expedition vo verziách <1.2.101.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Viac informácií:
- CVE-2025-0103 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 1. 2025.
Neautentizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva umožnené vykonať XSS útok [1].
Zraniteľnosť sa nachádza v produkte Palo Alto Networks Expedition vo verziách <1.2.101.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Viac informácií:
- CVE-2025-0104 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 1. 2025.
Autentizovanému vzdialenému útočníkovi s právami www-data je umožnené vykonávať príkazy v operačnom systéme, čo spôsobí únik citlivých informácií, ako sú používateľské mená, heslá a prístupové API kľúče k firewallom [1].
Zraniteľnosť sa nachádza v produkte Palo Alto Networks Expedition vo verziách <1.2.101.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Viac informácií:
- CVE-2025-0107 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 1. 2025.
Za CESNET-CERTS Martin Krajči dňa 13. 1. 2025.