Palo Alto Networks 週三發布了一份安全公告,表示它已經解決了 PAN-OS 軟件中的一個高嚴重性身份驗證繞過漏洞。
對於那些不知道的人來說,PAN-OS 是運行所有Palo Alto Networks 的下一代防火牆 (NGFW) 和安全設備。
它旨在為企業、服務提供商和政府組織提供先進的網絡安全、威脅防禦和流量管理功能。
高嚴重性漏洞,確定為CVE-2025-0108(CVSS評分:7.8),源於PAN-OS中Nginx/Apache的路徑處理問題。
如果成功利用,攻擊者可能會繞過 PAN-OS 管理 Web 界面身份驗證並調用特定的 PHP 腳本,從而可能訪問敏感系統數據或利用潛在漏洞。
Palo Alto Networks 表示:“Palo Alto Networks PAN-OS 軟件中的身份驗證繞過功能使未經身份驗證的攻擊者能夠通過網絡訪問管理 Web 界面,從而繞過 PAN-OS 管理 Web 界面所需的身份驗證並調用某些 PHP 腳本。”寫了在周三發布的諮詢中。
“雖然調用這些 PHP 腳本無法實現遠程代碼執行,但它可能會對 PAN-OS 的完整性和機密性產生負面影響。”
該缺陷影響 PAN-OS 的多個版本,如下所示:
- PAN-OS 11.2 < 11.2.4-h4(在 11.2.4-h4 或更高版本中修復)
- PAN-OS 11.1 < 11.1.6-h1(在 11.1.6-h1 或更高版本中修復)
- PAN-OS 10.2 < 10.2.13-h3(在 10.2.13-h3 或更高版本中修復)
- PAN-OS 10.1 < 10.1.14-h9(在 10.1.14-h9 或更高版本中修復)
此外,PAN-OS 版本:PAN-OS 10.1 >= 10.1.14-h9、PAN-OS 10.2 >= 10.2.13-h3、PAN-OS 11.1 >= 11.1.6-h1 和 PAN-OS 11.2 >= 11.2.4-h4 不受該漏洞的影響。它也不會影響 Cloud NGFW 和 Prisma Access 軟件。
該公司已敦促所有受影響的客戶立即應用 PAN-OS 的最新補丁。
它還建議用戶檢查防火牆日誌中是否有與該漏洞相關的任何可疑活動,遵循 Palo Alto Networks 保護網絡環境的最佳實踐,並進行威脅情報監控以隨時了解新出現的風險。
CVE-2025-0108漏洞是由Assetnote的安全研究員Adam Kues發現的,該公司Searchlight Cyber 的一部分,他們將此事報告給了帕洛阿爾托。
Assetnote 研究人員在分析之前 PAN-OS 缺陷的補丁時遇到了這個缺陷 -CVE-2024-0012和CVE-2024-9474—在野外被利用。
Assetnote 首席技術官兼聯合創始人 Shubham (Shubs) Shah 表示:“我們的研究表明,雖然 Palo Alto Networks 最近的補丁解決了已知漏洞,但 PAN-OS 的底層架構在同一漏洞類別中包含其他安全漏洞。”
“這凸顯了供應商在解決安全事件時考慮整體安全架構審查的迫切需要。”
Palo Networks 表示,沒有跡象表明存在任何惡意利用 CVE-2025-0108 漏洞的情況。
雖然它認為該漏洞的嚴重性為“高嚴重性”,但供應商為其分配的緊急程度為“中等”。
