PAN-OS es el sistema operativo utilizado en los dispositivos de seguridad de red de Palo Alto Networks, una empresa especializada en soluciones de seguridad informática.
Se registraron dos vulnerabilidades que afectan a este producto desde la interfaz web:
La primera vulnerabilidad CVE-2023-0007 con puntuación CVSS 6.5, se trata de un Cross-Site Scripting (XSS) en Panorama, la plataforma utilizada para administrar los dispositivos de seguridad permite a un administrador de lectura y escritura autenticado almacene una carga útil de JavaScript en la interfaz web que se ejecutará en el contexto del navegador de otro administrador cuando se visualice.
La segunda registrada como CVE-2023-0008 con puntuación CVSS 4.4 habla de una divulgación de archivos en el software PAN-OS que permite a un administrador autenticado con acceso a la interfaz web exportar archivos locales desde el firewall debido a una «race condition», que se da cuando dos o más procesos quieren acceder a un recurso compartido.
Productos afectados:
- PAN-OS 11.0 versiones < 11.0.1
- PAN-OS 10.2 versiones < 10.2.4
- PAN-OS 10.1 versiones < 10.1.10
- PAN-OS 10.0 versiones < 10.0.12
- PAN-OS 9.1 versiones < 9.1.16
- PAN-OS 9.0 versiones < 9.0.17
- PAN-OS 8.1 versiones < 8.1.25
Soluciones:
- PAN-OS 11.0.1
- PAN-OS 10.2.4
- PAN-OS 10.1.10
- PAN-OS 10.0.12
- PAN-OS 9.1.16
- PAN-OS 9.0.17
- PAN-OS 8.1.25
Recomendaciones:
- Actualizar el software a la versión actualizada correspondiente.
- Revisar en la documentación las mejores prácticas para para proteger la interfaz web de PAN-OS.
Referencias: