Три угрозы, одно решение: Palo Alto Networks выпускает экстренный патч для PAN-OS
NewsMakerОбновление, которое выводит защиту межсетевых экранов на новый уровень.
Palo Alto Networks выпустила обновления для PAN-OS , фирменной операционной системы, которая используется в межсетевых экранах компании. Обновление устраняет критическую уязвимость CVE-2025-0108 , позволяющую обходить аутентификацию в веб-интерфейсе управления. Проблема получила оценку 7.8 по шкале CVSS, но снижается до 5.1, если доступ к интерфейсу ограничен.
Ошибка связана с тем, что злоумышленник с сетевым доступом к управлению может обойти требуемую аутентификацию и запустить определённые PHP-скрипты. Хотя выполнение удалённого кода невозможно, это может негативно сказаться на целостности и конфиденциальности системы.
Уязвимость затрагивает следующие версии PAN-OS:
Помимо этого, Palo Alto Networks устранила ещё две уязвимости:
Palo Alto Networks выпустила обновления для PAN-OS , фирменной операционной системы, которая используется в межсетевых экранах компании. Обновление устраняет критическую уязвимость CVE-2025-0108 , позволяющую обходить аутентификацию в веб-интерфейсе управления. Проблема получила оценку 7.8 по шкале CVSS, но снижается до 5.1, если доступ к интерфейсу ограничен.
Ошибка связана с тем, что злоумышленник с сетевым доступом к управлению может обойти требуемую аутентификацию и запустить определённые PHP-скрипты. Хотя выполнение удалённого кода невозможно, это может негативно сказаться на целостности и конфиденциальности системы.
Уязвимость затрагивает следующие версии PAN-OS:
- 11.2 до 11.2.4-h4 (исправлено в 11.2.4-h4 и выше);
- 11.1 до 11.1.6-h1 (исправлено в 11.1.6-h1 и выше);
- 11.0 (перестала получать обновления 17 ноября 2024 года);
- 10.2 до 10.2.13-h3 (исправлено в 10.2.13-h3 и выше);
- 10.1 до 10.1.14-h9 (исправлено в 10.1.14-h9 и выше).
Помимо этого, Palo Alto Networks устранила ещё две уязвимости:
- CVE-2025-0109 (CVSS 5.5) — позволяет неаутентифицированному злоумышленнику удалить определённые файлы через веб-интерфейс управления (исправлено в тех же версиях, что и CVE-2025-0108).
- CVE-2025-0110 (CVSS 7.3) — уязвимость в OpenConfig-плагине, позволяющая аутентифицированному администратору выполнять произвольные команды, обходя системные ограничения (исправлено в OpenConfig 2.1.2).