[TLP:CLEAR] Palo Alto opravuje 7 zranitelností v různých produktech
Palo Alto Networks opravuje sedm zranitelností ve svých produktech. Nejzávažnější z nich jsou popsány níže [1][2][3][4], zbylé naleznete na [5][6][7]. Produkty a jejich opravené verze: PAN-OS [1][3][4] - 10.1.14-h16 (07/2025), 10.2.16-h1 (06/2025), 10.2.17 (08/2025) - 11.0.3, 11.1.10, 11.2.7 (06/2025) GlobalProtect App (Windows, macOS) - 6.3.3, 6.3.3-650, 6.2.8-h2 (06/2025) [2] Prisma Access Browser - 137.16.2.69 [5] Cortex XDR Broker VM - 27.0.26 [6]
Autentizovanému vzdálenému útočníkovi s administrátorskými právy ve webovém rozhraní správy PAN-OS je umožněno vykonat útok typu command injection a provádět akce jako root [1]. Riziko útoku lze významně snížit omezením přístupu ke správcovskému rozhraní pouze na důvěryhodné interní IP adresy dle doporučení na [8]. Detailní informace ke konkrétní konfiguraci zranitelných instancí a možnostem mitigace rizika naleznete na [1].
Zranitelnost se nachází v produktu PAN-OS ve verzích (>=10.1.0 AND <=10.1.14) OR (>=10.2.0 AND <=10.2.7) OR (>=11.0.0 AND <=11.0.2).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N/AU:N/R:U/V:C/RE:M/U:Amber
Více informací:
- CVE-2025-4231 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 6. 2025.
Autentizovanému lokálnímu útočníkovi je na macOS v GlobalProtect App umožněno prostřednictvím nesprávné interpretace zástupných znaků (wildcards) v komponentě pro sběr logů eskalovat svá oprávnění na úroveň root [2].
Zranitelnost se nachází v produktu GlobalProtect App (macOS) ve verzích (>=6.2.0 AND <= 6.2.8-223) OR (>=6.3.0 AND <=6.3.2).
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/AU:N/R:U/V:D/RE:M/U:Amber
Více informací:
- CVE-2025-4232 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-155: Improper Neutralization of Wildcards or Matching Symbols at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 6. 2025.
Autentizovanému lokálnímu útočníkovi s administrátorskými právy a přístupem k příkazové řádce PAN-OS je umožněno obejít bezpečnostní omezení systému a spouštět libovolné příkazy jako root [3]. Riziko lze výrazně snížit omezením přístupu k CLI pouze na důvěryhodné správce.
Zranitelnost se nachází v produktu PAN-OS ve verzích (>=10.1.0 AND <=10.1.14) OR (>=10.2.0 AND <=10.2.13) OR (>=11.1.0 AND <=11.1.9) OR (>=11.2.0 AND <=11.2.5).
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/R:U/V:D/U:Amber
Více informací:
- CVE-2025-4230 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 6. 2025.
Neautentizovanému vzdálenému útočníkovi je umožněno získat přístup k nešifrovaným datům odesílaným z firewallu prostřednictvím rozhraní SD-WAN s aktivní funkcí Direct Internet Access. Detailní informace ke konkrétní konfiguraci zranitelných instancí a možnostech dočasné opravy naleznete na [4].
Zranitelnost se nachází v produktu PAN-OS ve verzích (>=10.1.0 AND <=10.1.14) OR (>=10.2.0 AND <=10.2.16) OR (>=11.1.0 AND <=11.1.9) OR (>=11.2.0 AND <=11.2.6).
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/AU:N/R:U/V:D/U:Amber
Více informací:
- CVE-2025-4229 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-497: Exposure of Sensitive System Information to an Unauthorized Control Sphere at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 6. 2025.
Odkazy
- [1] https://security.paloaltonetworks.com/CVE-2025-4231
- [2] https://security.paloaltonetworks.com/CVE-2025-4232
- [3] https://security.paloaltonetworks.com/CVE-2025-4230
- [4] https://security.paloaltonetworks.com/CVE-2025-4229
- [5] https://nvd.nist.gov/vuln/detail/CVE-2025-4233
- [6] https://security.paloaltonetworks.com/CVE-2025-4228
- [7] https://security.paloaltonetworks.com/CVE-2025-4227
- [8] https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
Za CESNET-CERTS Michaela Ručková dne 19. 6. 2025.