【漏洞通告】Palo Alto Networks PAN-OS命令注入漏洞 (CVE-2021-3050)

发布时间 2021-08-12

0x00 漏洞概述

CVE     ID

CVE-2021-3050

时      间

2021-08-11

类      型

命令注入

等      级

高危

远程利用

影响范围


攻击复杂度

可用性

用户交互

所需权限

PoC/EXP

已公开

在野利用


 

0x01 漏洞详情

image.png

PAN-OS是Palo Alto Networks为其防火墙设备开发的操作系统。

2021年8月11日,Palo Alto Networks发布安全公告,修复了PAN-OS中的一个命令注入漏洞(CVE-2021-3050),该漏洞的CVSSv3评分为8.8。

该漏洞存在于PAN-OS Web 界面中,经过身份验证的远程攻击者能够实行任意系统命令并提升权限,但要利用此漏洞,攻击者需要访问 PAN-OS Web 界面进行身份验证。

Palo Alto Networks表示暂未发现该漏洞被利用,但此漏洞的EXP已公开。

 

0x02 处置建议

目前此漏洞已经修复。鉴于此漏洞为外部发现,且漏洞利用公开可用,建议受影响用户参考下表及时升级更新:

版本

受影响版本

修复版本

PAN-OS 10.1

>= 10.1.0

>= 10.1.2

PAN-OS 10.0

>= 10.0.0

>= 10.0.8

PAN-OS 9.1

>= 9.1.4

>= 9.1.11

PAN-OS 9.0

>= 9.0.10

>= 9.0.15

PAN-OS 8.1

None

8.1.*

注:Prisma Access 防火墙和运行 PAN OS 8.1 版本的防火墙不受此漏洞的影响。

下载链接:

https://www.paloaltonetworks.cn/

 

0x03 参考链接

https://security.paloaltonetworks.com/CVE-2021-3050

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3050

https://nvd.nist.gov/vuln/detail/CVE-2021-3050

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-08-12

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 关于大家

关注以下公众号,获取更多资讯:

image.png