Palo Alto Networks 修补了 PAN-OS 中的关键漏洞

Palo Alto Networks 周三发布了一份安全公告，表示它已经解决了 PAN-OS 软件中的一个高严重性身份验证绕过漏洞。

对于那些不知道的人来说，PAN-OS 是运行所有Palo Alto Networks 的下一代防火墙 (NGFW) 和安全设备。

它旨在为企业、服务提供商和政府组织提供先进的网络安全、威胁防御和流量管理功能。

高严重性漏洞，确定为CVE-2025-0108（CVSS评分：7.8），源于PAN-OS中Nginx/Apache的路径处理问题。

如果成功利用，攻击者可能会绕过 PAN-OS 管理 Web 界面身份验证并调用特定的 PHP 脚本，从而可能访问敏感系统数据或利用潜在漏洞。

Palo Alto Networks 表示：“Palo Alto Networks PAN-OS 软件中的身份验证绕过功能使未经身份验证的攻击者能够通过网络访问管理 Web 界面，从而绕过 PAN-OS 管理 Web 界面所需的身份验证并调用某些 PHP 脚本。”写了在周三发布的咨询中。

“虽然调用这些 PHP 脚本无法实现远程代码执行，但它可能会对 PAN-OS 的完整性和机密性产生负面影响。”

该缺陷影响 PAN-OS 的多个版本，如下所示：

• PAN-OS 11.2 < 11.2.4-h4（在 11.2.4-h4 或更高版本中修复）
• PAN-OS 11.1 < 11.1.6-h1（在 11.1.6-h1 或更高版本中修复）
• PAN-OS 10.2 < 10.2.13-h3（在 10.2.13-h3 或更高版本中修复）
• PAN-OS 10.1 < 10.1.14-h9（在 10.1.14-h9 或更高版本中修复）

此外，PAN-OS 版本：PAN-OS 10.1 >= 10.1.14-h9、PAN-OS 10.2 >= 10.2.13-h3、PAN-OS 11.1 >= 11.1.6-h1 和 PAN-OS 11.2 >= 11.2.4-h4 不受该漏洞的影响。它也不会影响 Cloud NGFW 和 Prisma Access 软件。

该公司已敦促所有受影响的客户立即应用 PAN-OS 的最新补丁。

它还建议用户检查防火墙日志中是否有与该漏洞相关的任何可疑活动，遵循 Palo Alto Networks 保护网络环境的最佳实践，并进行威胁情报监控以随时了解新出现的风险。

CVE-2025-0108漏洞是由Assetnote的安全研究员Adam Kues发现的，该公司Searchlight Cyber​​ 的一部分，他们将此事报告给了帕洛阿尔托。

Assetnote 研究人员在分析之前 PAN-OS 缺陷的补丁时遇到了这个缺陷 -CVE-2024-0012和CVE-2024-9474—在野外被利用。

Assetnote 首席技术官兼联合创始人 Shubham (Shubs) Shah 表示：“我们的研究表明，虽然 Palo Alto Networks 最近的补丁解决了已知漏洞，但 PAN-OS 的底层架构在同一漏洞类别中包含其他安全漏洞。”

“这凸显了供应商在解决安全事件时考虑整体安全架构审查的迫切需要。”

Palo Networks 表示，没有迹象表明存在任何恶意利用 CVE-2025-0108 漏洞的情况。

虽然它认为该漏洞的严重性为“高严重性”，但供应商为其分配的紧急程度为“中等”。