PAN-OS：管理Web界面认证绕过漏洞披露与修复

摘要

近期在Palo Alto Networks PAN-OS中发现的安全漏洞CVE-2025-0108，允许具有网络访问权限的未认证攻击者绕过认证并访问管理Web界面，攻击者还可通过该界面调用特定PHP脚本。虽然此漏洞不会导致远程代码执行，但会危及系统的完整性和机密性。

为降低风险，Palo Alto建议将管理界面的访问权限限制为受信任的内部IP地址。Palo Alto确认，对受影响的PAN-OS版本的有效解决方案是升级到更新的PAN-OS版本。此问题不影响Cloud NGFW或Prisma Access软件，且Palo Alto Networks未发现此漏洞被恶意利用。

受影响系统和/或应用

• PAN-OS 10.1.14及更早版本
• PAN-OS 10.2.13及更早版本
• PAN-OS 11.0（已终止支持）升级到受支持的修复版本
• PAN-OS 11.1.6及更早版本
• PAN-OS 11.2.4及更早版本

缓解/解决方案

Palo Alto建议按照最佳实践，将管理界面的访问权限限制为受信任的内部IP地址。以下PAN-OS版本已有修复版本可用：

• PAN-OS 10.1 升级到10.1.14-h9或更高版本
• PAN-OS 10.2 升级到10.2.13-h3或更高版本
• PAN-OS 11.0（已终止支持）升级到受支持的修复版本
• PAN-OS 11.1 升级到11.1.6-h1或更高版本
• PAN-OS 11.2 升级到11.2.4-h4或更高版本

网络融合中心的行动

网络融合中心（CFC）将持续监控情况，并在需要时发布咨询更新。订阅我们漏洞扫描服务的客户，在扫描提供商提供相关插件后，如果扫描范围内发现严重漏洞，将收到相关结果。

Qualys ID：732239, 732237
Tenable ID：CVE-2025-0108

参考链接

• https://securityadvisories.paloaltonetworks.com/CVE-2025-0108
• https://slcyber.io/blog/nginx-apache-path-confusion-to-auth-bypass-in-pan-os/
• https://www.helpnetsecurity.com/2025/02/13/pan-os-authentication-bypass-palo-alto-networks-poc-cve-20250108/