Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Paloaltonetworks›Операционная системаnvd

Pan-os

Уязвимости

212

Эксплуатируемые

13

Макс. CVSS

10

Макс. EPSS

0.99999

Распределение по критичности

Критический

34

Высокий

76

Средний

93

Низкий

9

Затронутые диапазоны версий

10.0.0–10.0.110.1.0–10.1.1010.1.0–10.1.1110.1.0–10.1.1210.1.0–10.1.1410.1.0–10.1.710.1.0–10.1.910.2.0–10.2.1010.2.0–10.2.1710.2.0–10.2.410.2.0–10.2.710.2.0–10.2.811.1.0–11.1.111.1.0–11.1.611.2.0–11.2.25.0.0–5.0.185.0.0–5.0.195.0.0–5.0.205.1–7.0.146.0.0–6.1.206.1.0–6.1.167.1.0–7.1.157.1.0–7.1.227.1.0–7.1.23

Также сопоставлено как (исходные строки): pan-os,prisma_access,vm-series

Топ уязвимостей

CVE-2024-3400Внедрение команд в результате произвольной уязвимости создания файлов в функции GlobalProtect программного обеспечения Palo Alto Networks PAN-OS для определенных версий PAN-OS и различных конфигураций функций может позволить неаутентифицированному злоумышленнику выполнить произвольный код с правами root на брандмауэре. Cloud NGFW, устройства Panorama и Prisma Access не подвержены этой уязвимости.

CVE-2020-2021Когда включена аутентификация SAML и отключен параметр 'Проверить сертификат поставщика идентификации', неправильная проверка подписей в аутентификации SAML PAN-OS позволяет неаутентифицированному сетевому злоумышленнику получить доступ к защищенным ресурсам. Злоумышленник должен иметь доступ к сети к уязвимому серверу для эксплуатации этой уязвимости. Эта проблема затрагивает версии PAN-OS 9.1, ранее чем PAN-OS 9.1.3; версии PAN-OS 9.0, ранее чем PAN-OS 9.0.9; версии PAN-OS 8.1, ранее чем PAN-OS 8.1.15 и все версии PAN-OS 8.0 (EOL). Эта проблема не затрагивает PAN-OS 7.1. Эта проблема не может быть использована, если SAML не используется для аутентификации. Эта проблема не может быть использована, если параметр 'Проверить сертификат поставщика идентификации' включен в профиле сервера поставщика идентификации SAML. Ресурсы, которые могут быть защищены аутентификацией на основе единого входа SAML: шлюз GlobalProtect, портал GlobalProtect, клиентский VPN GlobalProtect, аутентификация и портал Captive, межсетевые экраны следующего поколения PAN-OS (серия PA, серия VM) и веб-интерфейсы Panorama, Prisma Access. В случае с шлюзами GlobalProtect, порталом GlobalProtect, клиентским VPN, порталом Captive и Prisma Access неаутентифицированный злоумышленник с доступом к сети к затронутым серверам может получить доступ к защищенным ресурсам, если это разрешено настроенной аутентификацией и политиками безопасности. Никакое воздействие не оказывает на целостность и доступность шлюза, портала или сервера VPN. Злоумышленник не может просматривать или изменять сессии обычных пользователей. В худшем случае это критическая уязвимость с базовым баллом CVSS 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N). В случае с PAN-OS и веб-интерфейсами Panorama эта проблема позволяет неаутентифицированному злоумышленнику с доступом к сети к веб-интерфейсам PAN-OS или Panorama войти как администратор и выполнять административные действия. В худшем случае это критическая уязвимость с базовым баллом CVSS 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Если веб-интерфейсы доступны только ограниченной сети управления, то проблема снижается до базового балла CVSS 9.6 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Palo Alto Networks не знает о каких-либо злонамеренных попытках использовать эту уязвимость.

CVE-2012-6603Веб-интерфейс управления в Palo Alto Networks PAN-OS до версий 3.1.12, 4.0.x до 4.0.10 и 4.1.x до 4.1.4 позволяет удаленным злоумышленникам обойти аутентификацию и получить права администратора через неуказанные векторы, также известная как Ref ID 37034.

CVE-2012-6601Интерфейс командной строки управления устройствами в Palo Alto Networks PAN-OS до 3.1.12, 4.0.x до 4.0.10 и 4.1.x до 4.1.4 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы, также известный как Ref ID 36983.

CVE-2012-6593Palo Alto Networks PAN-OS до 3.1.10 и 4.0.x до 4.0.4 позволяет удаленным злоумышленникам выполнять произвольные команды через неуказанные векторы, также известный как Ref ID 30088.

CVE-2012-6592Palo Alto Networks PAN-OS до 3.1.10 и 4.0.x до 4.0.5 позволяет удаленным злоумышленникам выполнять произвольные команды через неуказанные векторы, также известный как Ref ID 31091.

CVE-2021-3064Уязвимость повреждения памяти существует в интерфейсах портала и шлюза Palo Alto Networks GlobalProtect, что позволяет неаутентифицированному сетевому злоумышленнику нарушить работу системных процессов и потенциально выполнить произвольный код с правами root. Злоумышленник должен иметь сетевой доступ к интерфейсу GlobalProtect, чтобы воспользоваться этой проблемой. Эта проблема затрагивает PAN-OS 8.1 версии ранее PAN-OS 8.1.17. Эта проблема не затрагивает клиентов Prisma Access.

CVE-2020-2040Уязвимость переполнения буфера в PAN-OS позволяет не прошедшему проверку подлинности злоумышленнику нарушить системные процессы и потенциально выполнить произвольный код с правами root, отправив вредоносный запрос в интерфейс Captive Portal или Multi-Factor Authentication. Эта проблема затрагивает: все версии PAN-OS 8.0; версии PAN-OS 8.1, более ранние, чем PAN-OS 8.1.15; версии PAN-OS 9.0, более ранние, чем PAN-OS 9.0.9; версии PAN-OS 9.1, более ранние, чем PAN-OS 9.1.3.

CVE-2020-2001Уязвимость, связанная с внешним контролем пути и данных, в логике обработки XSLT Palo Alto Networks PAN-OS Panorama, которая позволяет не прошедшему проверку подлинности пользователю с сетевым доступом к интерфейсу управления PAN-OS записывать предоставленный злоумышленником файл в систему и повышать привилегии. Эта проблема затрагивает: Все версии PAN-OS 7.1 Panorama и 8.0 Panorama; PAN-OS 8.1 версий ранее 8.1.12 на Panorama; PAN-OS 9.0 версий ранее 9.0.6 на Panorama.

CVE-2020-1992Уязвимость формата строки в демоне Varrcvr PAN-OS на устройствах серии PA-7000 с картой пересылки журналов (LFC) позволяет удаленным злоумышленникам вызвать сбой демона, создавая состояние отказа в обслуживании, или потенциально выполнять код с правами root. Эта проблема затрагивает Palo Alto Networks PAN-OS 9.0 версий до 9.0.7; PAN-OS 9.1 версий до 9.1.2 на устройствах серии PA-7000 с установленной и настроенной LFC. Для этой проблемы требуется, чтобы службы WildFire были настроены и включены. Эта проблема не затрагивает PAN-OS 8.1 и более ранние версии. Эта проблема не затрагивает другие межсетевые экраны серии PA.

CVE-2019-17440Неправильное ограничение связи с картой пересылки журналов (LFC) на устройствах серии PA-7000 с картой управления коммутатором второго поколения (SMC) может позволить злоумышленнику с сетевым доступом к LFC получить root-доступ к PAN-OS. Эта проблема затрагивает версии PAN-OS 9.0 до 9.0.5-h3 на устройствах PA-7080 и PA-7050 с установленной и настроенной LFC. Эта проблема не затрагивает развертывания серии PA-7000, использующие SMC первого поколения и карту обработки журналов (LPC). Эта проблема не затрагивает никакие другие устройства серии PA. Эта проблема не затрагивает устройства без LFC. Эта проблема не затрагивает PAN-OS 8.1 или более ранние выпуски. Эта проблема затронула лишь очень ограниченное число клиентов, и мы предприняли индивидуальные меры, чтобы помочь им обновиться. На момент публикации все идентифицированные клиенты обновили SW или контент и не подвержены воздействию.

CVE-2019-1581Уязвимость удаленного выполнения кода в интерфейсе управления устройством PAN-OS SSH, которая может привести к тому, что не прошедшие аутентификацию удаленные пользователи с сетевым доступом к интерфейсу управления SSH получат root-доступ к PAN-OS. Эта проблема затрагивает версии PAN-OS 7.1 до 7.1.24-h1, 7.1.25; версии 8.0 до 8.0.19-h1, 8.0.20; версии 8.1 до 8.1.9-h4, 8.1.10; версии 9.0 до 9.0.3-h3, 9.0.4.

CVE-2019-1580Повреждение памяти в PAN-OS 7.1.24 и более ранних версиях, PAN-OS 8.0.19 и более ранних версиях, PAN-OS 8.1.9 и более ранних версиях и PAN-OS 9.0.3 и более ранних версиях позволит удаленному не прошедшему аутентификацию пользователю создать сообщение для Secure Shell Daemon (SSHD) и повредить произвольную память.

CVE-2017-9458Уязвимость XML external entity (XXE) во внутреннем и внешнем интерфейсе шлюза GlobalProtect в Palo Alto Networks PAN-OS до версий 6.1.18, 7.0.x до 7.0.17, 7.1.x до 7.1.12 и 8.0.x до 8.0.3 позволяет удаленным злоумышленникам получать конфиденциальную информацию, вызывать отказ в обслуживании или проводить атаки server-side request forgery (SSRF) через неуказанные векторы.

CVE-2017-8390DNS-прокси в Palo Alto Networks PAN-OS до версий 6.1.18, 7.x до 7.0.16, 7.1.x до 7.1.11 и 8.x до 8.0.3 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданное доменное имя.

CVE-2017-7945Внешний интерфейс GlobalProtect в Palo Alto Networks PAN-OS до 6.1.17, 7.x до 7.0.15, 7.1.x до 7.1.9 и 8.x до 8.0.2 предоставляет различные сообщения об ошибках для неудачных попыток входа в систему в зависимости от того, существует ли имя пользователя, что позволяет удаленным злоумышленникам перечислять имена учетных записей и проводить атаки методом перебора с помощью серии запросов, также известные как PAN-SA-2017-0014 и PAN-72769.

CVE-2017-15944PAN-OS Palo Alto Networks до 6.1.19, 7.0.x до 7.0.19, 7.1.x до 7.1.14 и 8.0.x до 8.0.6 позволяют удаленным злоумышленникам выполнять произвольный код через векторы, связанные с интерфейсом управления.

CVE-2017-15940Компонент управления захватом пакетов веб-интерфейса в Palo Alto Networks PAN-OS до версий 6.1.19, 7.0.x до 7.0.19, 7.1.x до 7.1.14 и 8.0.x до 8.0.6 позволяет удаленным аутентифицированным пользователям выполнять произвольный код через неуказанные векторы.

CVE-2016-9150Переполнение буфера в веб-интерфейсе управления в Palo Alto Networks PAN-OS до версий 5.0.20, 5.1.x до 5.1.13, 6.0.x до 6.0.15, 6.1.x до 6.1.15, 7.0.x до 7.0.11 и 7.1.x до 7.1.6 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.

CVE-2016-3657Переполнение буфера в GlobalProtect Portal в Palo Alto Networks PAN-OS до 5.0.18, 6.0.x до 6.0.13, 6.1.x до 6.1.10 и 7.0.x до 7.0.5 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой устройства) или, возможно, выполнять произвольный код через запрос SSL VPN.

CVE-2016-3655Веб-интерфейс управления в Palo Alto Networks PAN-OS до 5.0.18, 6.0.x до 6.0.13, 6.1.x до 6.1.10 и 7.0.x до 7.0.5 позволяет удаленным злоумышленникам выполнять произвольные команды ОС через неуказанный вызов API.

CVE-2026-0300Выполнение произвольного кода в User-ID Authentication Portal on Palo Alto PAN-OS

CVE-2024-0012Обход аутентификации в программном обеспечении Palo Alto Networks PAN-OS позволяет неаутентифицированному злоумышленнику с сетевым доступом к веб-интерфейсу управления получить привилегии администратора PAN-OS для выполнения административных действий, несанкционированного изменения конфигурации или использования других уязвимостей повышения привилегий, таких как CVE-2024-9474 https://security.paloaltonetworks.com/CVE-2024-9474 . Риск этой проблемы значительно снижается, если вы обеспечите безопасный доступ к веб-интерфейсу управления, ограничив доступ только доверенными внутренними IP-адресами в соответствии с нашими рекомендуемыми передовыми методами развертывания https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431 . Эта проблема применима только к программному обеспечению PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1 и PAN-OS 11.2. Cloud NGFW и Prisma Access не подвержены этой уязвимости.

CVE-2024-3383Уязвимость в том, как программное обеспечение Palo Alto Networks PAN-OS обрабатывает данные, полученные от агентов Cloud Identity Engine (CIE), позволяет изменять группы User-ID. Это влияет на доступ пользователей к сетевым ресурсам, где пользователям может быть неправомерно отказано в доступе к ресурсам или разрешен доступ к ним на основе существующих правил политики безопасности.

CVE-2020-2018Уязвимость обхода аутентификации в функции переключения контекста Panorama позволяет злоумышленнику с сетевым доступом к интерфейсу управления Panorama получить привилегированный доступ к управляемым брандмауэрам. Злоумышленнику требуются некоторые знания об управляемых брандмауэрах для использования этой проблемы. Эта проблема не затрагивает Panorama, настроенную с пользовательской аутентификацией сертификатов для связи между Panorama и управляемыми устройствами. Эта проблема затрагивает: PAN-OS 7.1 версий ранее 7.1.26; PAN-OS 8.1 версий ранее 8.1.12; PAN-OS 9.0 версий ранее 9.0.6; Все версии PAN-OS 8.0.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →