PAN-OS漏洞(CVE-2025-4619)允许通过单个特制数据包实现未认证防火墙重启

帕洛阿尔托网络公司针对新发现的拒绝服务(DoS)漏洞发布了安全公告，该漏洞影响多个版本的PAN-OS操作系统——这些系统用于PA系列、VM系列和Prisma Access防火墙。该漏洞被追踪为CVE-2025-4619，CVSS评分为6.6，攻击者无需认证即可通过数据平面发送单个特制数据包来远程重启防火墙。

根据帕洛阿尔托网络公司的说明：

“帕洛阿尔托网络PAN-OS软件中的拒绝服务(DoS)漏洞使未经身份验证的攻击者能够通过数据平面发送特制数据包来重启防火墙。”

如果攻击者重复发送数据包，情况会变得更加严重：

“重复尝试发起重启会导致防火墙进入维护模式。”

进入维护模式可能会中断流量、破坏安全执行，并需要手动恢复——对于依赖这些设备进行边界安全和威胁防护的组织来说，这是不可接受的风险。

CVE-2025-4619仅影响配置了以下任一功能的防火墙：

• URL代理，或
• 任何解密策略（显式解密、显式不解密或任何其他解密配置）

帕洛阿尔托网络公司明确说明了这一要求：

“此问题仅适用于配置了URL代理或任何解密策略的防火墙。”

此外：

“当配置任何解密策略时，无论流量匹配显式解密、显式不解密还是不匹配任何解密策略，都可能遇到此问题。”

云NGFW部署不受影响。 该公告包含了针对PAN-OS版本11.2、11.1和10.2以及Prisma Access的详细修复路径。帕洛阿尔托网络公司建议升级到以下列出的某个热修复或维护版本。

PAN-OS 11.2

• 受影响版本：11.2.0 → 11.2.4
• 修复版本：11.2.4-h4、11.2.5或更高版本

PAN-OS 11.1

• 受影响版本：11.1.0 → 11.1.6
• 修复版本：11.1.6-h1、11.1.7或更高版本（每个次要版本都有额外的热修复路径）

PAN-OS 10.2

• 受影响版本：10.2.0 → 10.2.13
• 修复版本：10.2.13-h3、10.2.14或更高版本

云NGFW和PAN-OS 12.1无需任何操作。 较旧的不受支持版本需要升级到受支持的固定版本。

Prisma Access

• 修复版本：根据分支不同，分别为11.2.4-h4和10.2.10-h14

截至发布时，帕洛阿尔托网络公司报告没有发现实际滥用证据。