Multiples vulnérabilités dans PAN-OS

De multiples vulnérabilités ont été découvertes dans PAN-OS, le logiciel embarqué dans plusieurs produits Palo Alto. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire et/ou un déni de service.

CVE-2020-2040 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “débordement de tampon” a été découverte dans PAN-OS. Elle peut permettre à un attaquant distant et non-authentifié de provoquer une exécution de code arbitraire avec des privilèges d’utilisateur “root” via l’envoi d’une requête spécialement conçue vers l’interface d’authentification à multiples facteurs ou vers le “Captive Portal”.

CVE-2020-2036 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre une attaque de type “reflected XSS” a été découverte dans l'interface de management de PAN-OS. Elle peut permettre à un attaquant distant et non-authentifié de provoquer une exécution de code JavaScript s’il réussit à convaincre un utilisateur administrateur de cliquer sur un lien spécialement conçu.

CVE-2020-2034 [Score CVSS v3 : 8.1] : Une vulnérabilité pouvant permettre une injection de commande a été découverte dans le portail PAN-OS GlobalProtect. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité s’il connaît un certain nombre d’informations sur la configuration du système ou s’il performe avec succès une attaque de type force brute sur le système.

CVE-2020-2041 [Score CVSS v3 : 7.5] : Une vulnérabilité due à une configuration non sécurisée a été découverte dans l’appweb daemon de PAN-OS. Elle peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service via l’envoi d’une requête spécialement conçue.