Palo Altoの「PAN-OS」や「GlobalProtect App」に脆弱性

Palo Alto Networksは、現地時間3月13日にセキュリティアドバイザリ3件を公開し、「PAN-OS」や「GlobalProtect App」に関する脆弱性を明らかにした。

特定の通信経路を経由させることでセキュリティポリシーを適用する「GlobalProtect App」では、権限のないユーザーがパスコードなしにアプリを無効化できる「CVE-2024-2431」が判明した。

またローカルユーザーによって権限の昇格が可能となる脆弱性「CVE-2024-2432」が明らかとなっている。

共通脆弱性評価システム「CVSSv4.0」におけるベーススコアについて、「CVE-2024-2431」を「5.7」、「CVE-2024-2432」を「5.2」と評価した。

一方「PAN-OS」では権限管理不備の脆弱性「CVE-2024-2433」が判明している。

データの読み取りのみ許可されている管理者が、ウェブインターフェース経由でファイルをアップロードでき、パーティションの空き容量を消費して「PAN-OS」「WildFire」などの機能を利用できなくさせることが可能だという。CVSS基本値は「5.1」と評価されている。

（Security NEXT - 2024/03/14 ） ツイート

PR

関連記事

阿波銀で顧客情報の不正持出が判明、金銭着服も - 職員を処分
システムでランサム被害、受注や出荷に遅滞 - 興和江守
IoTゲートウェイ「OpenBlocks」に脆弱性 - 修正版が公開
組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
「GitLab」にセキュリティアップデート - 脆弱性7件を解消
米政府、「HPE OneView」「PowerPoint」の脆弱性悪用に注意喚起
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
クレカ決済データ2.5万件超をメールで店舗に誤送信 - 東急モールズD
個人情報含むPCを電車内に置き忘れ、データは暗号化 - 埼玉県
無関係企業に個人情報を誤送信、システム改修時に不具合 - ふるさと島根定住財団