📚 Palo Alto PAN-OS bis 7.1.4 Monitor Tab Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in Palo Alto PAN-OS bis 7.1.4 gefunden. Es geht hierbei um eine unbekannte Funktion der Komponente Monitor Tab. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität.
Die Schwachstelle wurde am 18.10.2016 durch Juan Sacco als PAN-57659/95895 in Form eines bestätigten Advisories (Website) herausgegeben. Auf securityadvisories.paloaltonetworks.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit Palo Alto angestrebt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Das Advisory weist darauf hin:
This issue affects the management interface of the device, where an authenticated administrator could inject malicious JavaScript into the web interface.
Ein Aktualisieren auf die Version 5.0.20, 5.1.13, 6.0.15, 6.1.14, 7.0.10 oder 7.1.5 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Palo Alto hat demzufolge sofort gehandelt.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037063) dokumentiert.
CVSSv3
Base Score: 3.5 [?]Temp Score: 3.4 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N) [?]Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
- cpe:/a:palo_alto:pan-os:5.0.19
- cpe:/a:palo_alto:pan-os:5.1.12
- cpe:/a:palo_alto:pan-os:6.0.14
- cpe:/a:palo_alto:pan-os:6.1.13
- cpe:/a:palo_alto:pan-os:7.0.9
- cpe:/a:palo_alto:pan-os:7.1.4
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: PAN-OS 5.0.20/5.1.13/6.0.15/6.1.14/7.0.10/7.1.5
Timeline
18.10.2016 Advisory veröffentlicht18.10.2016 Gegenmassnahme veröffentlicht
20.10.2016 VulDB Eintrag erstellt
20.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: PAN-57659/95895Person: Juan Sacco
Status: Bestätigt
Koordiniert: Ja
SecurityTracker: 1037063
Eintrag
Erstellt: 20.10.2016Eintrag: 76.3% komplett
...