Palo Alto Networks выпустила обновления для PAN-OS, фирменной операционной системы, которая используется в межсетевых экранах компании. Обновление устраняет критическую уязвимость CVE-2025-0108 , позволяющую обходить аутентификацию в веб-интерфейсе управления. Проблема получила оценку 7.8 по шкале CVSS, но снижается до 5.1, если доступ к интерфейсу ограничен.
Ошибка связана с тем, что злоумышленник с сетевым доступом к управлению может обойти требуемую аутентификацию и запустить определённые PHP-скрипты. Хотя выполнение удалённого кода невозможно, это может негативно сказаться на целостности и конфиденциальности системы.
Уязвимость затрагивает следующие версии PAN-OS:
- 11.2 до 11.2.4-h4 (исправлено в 11.2.4-h4 и выше);
- 11.1 до 11.1.6-h1 (исправлено в 11.1.6-h1 и выше);
- 11.0 (перестала получать обновления 17 ноября 2024 года);
- 10.2 до 10.2.13-h3 (исправлено в 10.2.13-h3 и выше);
- 10.1 до 10.1.14-h9 (исправлено в 10.1.14-h9 и выше).
Исследователь безопасности из Searchlight Cyber Адам Кьюс, обнаруживший проблему, пояснил , что причина уязвимости кроется в различиях обработки запросов между компонентами Nginx и Apache, что позволяет выполнить атаку обхода каталога.
Помимо этого, Palo Alto Networks устранила ещё две уязвимости:
- CVE-2025-0109(CVSS 5.5) – позволяет неаутентифицированному злоумышленнику удалить определённые файлы через веб-интерфейс управления (исправлено в тех же версиях, что и CVE-2025-0108).
- CVE-2025-0110(CVSS 7.3) – уязвимость в OpenConfig-плагине, позволяющая аутентифицированному администратору выполнять произвольные команды, обходя системные ограничения (исправлено в OpenConfig 2.1.2).
Чтобы снизить риск, связанный с уязвимостью, настоятельно рекомендуется отключить доступ к интерфейсу управления из Интернета или любой ненадёжной сети. Клиенты, которые не используют OpenConfig, могут отключить или удалить плагин из своих инстансов.