漏洞情报 | Palo Alto Networks PAN-OS 操作系统命令注入漏洞

0x01 漏洞描述

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。

360漏洞云监测到Palo Alto Networks PAN-OS的web界面中存在操作系统命令注入漏洞（CVE-2021-3050）。该漏洞源于web界面中的输入验证不当，远程的经认证的管理员可通过发送特制的数据执行任意操作系统命令，从而提升权限。

0x02 危害等级

中危：6.8

0x03 影响版本

PAN-OS 9.0.10 - 9.0.14

PAN-OS 9.1.4 - 9.1.10

PAN-OS 10.0.0 - 10.0.7

PAN-OS 10.1.0 - 10.1.1

0x04 修复版本

PAN-OS 9.0.15 (预计2021年11月发布)

PAN-OS 9.1.11 (预计2021年9月发布)

PAN-OS 10.0.8 ( 预计2021年9月发布 )

PAN-OS 10.1.2 (预计2021年9月发布）

0x05 修复建议

厂商计划于2021年9月和11月发布各版本的升级以修复漏洞，用户届时请尽快更新至安全版本。