Palo Alto Networks lanzó una serie de actualizaciones para resolver seis vulnerabilidades en los productos PAN-OS, Cortex XDR y GlobalProtect App. Estas fallas impactan tanto a la interfaz de línea de comandos (CLI) como a la interfaz web de gestión, y también comprometen el funcionamiento del cliente GlobalProtect en sistemas macOS. Las vulnerabilidades podrían permitir a atacantes autenticados o locales escalar privilegios, ejecutar comandos arbitrarios como root o eludir políticas de seguridad en entornos gestionados. A continuación, se detallan las vulnerabilidades identificadas:
- CVE-2025‑4233 (CVSS: 8.6): Impacta el producto Prisma Access Browser y está relacionada con el almacenamiento en caché. Permite omitir políticas de control de datos y representa un riesgo de integridad y confidencialidad en entornos gestionados por navegador.
- CVE-2025‑4232 (CVSS: 7.1): Esta vulnerabilidad es de inyección de código en la función de recolección de logs de la aplicación GlobalProtect para macOS. Un usuario no administrador autenticado puede manipular caracteres comodines para escalar privilegios a root.
- 2025‑4231 (CVSS: 6.1): Vulnerabilidad de inyección de comandos en la interfaz web de gestión de PAN‑OS. Un administrador autenticado con acceso a la red puede ejecutar comandos como root, comprometiendo la integridad y disponibilidad.
- 2025‑4230 (CVSS: 5.7): PAN-OS: Vulnerabilidad de inyección de comandos vía CLI. Un administrador autenticado puede ejecutar comandos arbitrarios como root, eludiendo restricciones del sistema. La exposición se reduce restringiendo el acceso a la CLI.
Producto, versiones afectadas y solución:
| CVE | Producto Afectado | Versiones Afectadas | Solución |
| CVE‑2025‑4233 | Prisma Access Browser | Versiones menores a 136.24.1.93. | Actualizar a la versión 137.16.2.69 o superior. |
| CVE‑2025‑4232 | Global Protect App on macOS | Versiones menores a 6.3.3. Versiones menores a 6.2.8-h2. Todas las versiones 6.1 y 6.0. | Actualizar a la versión 6.3.3 o superior. Actualizar a la versión 6.2.8-h2 o superior. |
| CVE‑2025‑4231 | PAN-OS | Versiones menores a 11.0.3. Versiones menores a 10.2.8. Todas las versiones 10.1. | Actualizar a la versión 11.0.3 o superior. Actualizar a la versión 10.2.8 o superior. |
| CVE‑2025‑4230 | PAN-OS | Versiones menores a 11.2.6. Versiones menores a 10.1.10. Versiones menores a 10.2.14. Versiones menores a 10.1.14-h15. | Actualizar a la versión 11.2.6 o superior. Actualizar a la versión 10.1.10 o superior. Actualizar a la versión 10.2.14 o superior. Actualizar a la versión 10.1.14-h15 o superior. |
Recomendaciones:
- Actualizar los sistemas afectados a las versiones más recientes para mitigar las vulnerabilidades identificadas.
- Revisar la configuración de seguridad de los dispositivos y agentes para evitar accesos no autorizados y proteger la confidencialidad de los datos.
- Implementar un monitoreo continuo para detectar cualquier actividad sospechosa que pueda explotar estas vulnerabilidades.
Referencias: