2025年02月25日
Palo Alto Networks 製 PAN-OSの脆弱性に関するお知らせ(CVE-2025-0108)(CVE-2025-0110)
JBCC株式会社
JBサービス株式会社
この度、Palo Alto Networks社より、PAN-OSの脆弱性に関する案内が公表されましたので、以下の通りご連絡いたします。
■CVE-2025-0108
ネットワークアクセス権を持つ攻撃者が認証を回避し、特定のPHPスクリプトを呼び出すことを可能にします。この脆弱性はリモートコード実行を許可するものではありませんが、PAN-OSの整合性や機密性に悪影響を及ぼす可能性があります。
CVE-2025-0108 PAN-OS: 管理 Web インターフェースでの認証バイパス
■CVE-2025-0110
認証された管理者がPAN-OS管理Webインターフェイスに対してgNMI要求を送信し、システム制限を回避して任意のコマンドを実行することが可能になります。
CVE-2025-0110 PAN-OS OpenConfig プラグイン: OpenConfig プラグインのコマンド インジェクション脆弱性
影響を受けるバージョン
■CVE-2025-0108
- PAN-OS 11.2
- 11.2.4-h4 未満のバージョン
- PAN-OS 11.1
-
11.1.2-h18 未満のバージョン
11.1.6-h1 未満のバージョン
- PAN-OS 10.2
-
10.2.7-h24 未満のバージョン
10.2.8-h21 未満のバージョン
10.2.9-h21 未満のバージョン
10.2.10-h14 未満のバージョン
10.2.11-h12 未満のバージョン
10.2.12-h6 未満のバージョン
10.2.13-h3 未満のバージョン
- PAN-OS 10.1
- 10.1.14-h9 未満のバージョン
※Cloud NGFW および Prisma Accessは、この脆弱性の影響を受けません。
■CVE-2025-0110
- PAN-OS
OpenConfigプラグイン - 2.1.2未満のバージョン
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。