Palo Alto Networks PAN-OS操作系統命令注入漏洞（CVE-2021-3050）預警

一、漏洞情況

近日，Palo Alto Networks發布安全公告，修復了PAN-OS web界面中存在一個操作系統命令注入漏洞，漏洞CVE編號：CVE-2021-3050。攻擊者可利用該漏洞執行任意系統命令并提升權限。其報告中指出，該漏洞利用已公開，但暫未發現該漏洞被利用。目前官方已修復該漏洞，建議受影響用戶及時更新至安全版本進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Palo Alto Networks PAN-OS是美國Palo Alto Networks公司的一套為其防火墻設備開發的操作系統。

該漏洞存在于PAN-OS Web界面中，經過身份驗證的遠程攻擊者可利用該漏洞執行任意系統命令并提升權限。利用該漏洞的前提需要攻擊者訪問PAN-OS Web界面進行身份驗證。

四、影響范圍

• PAN-OS >= 9.0.10,< 9.0.14
• PAN-OS >= 9.1.4,< 9.1.10
• PAN-OS >= 10.0,< 10.0.7
• PAN-OS >= 10.1.0,< 10.1.1

注：Prisma Access防火墻和運行PAN-OS 8.1版本的防火墻不受此漏洞的影響。

五、安全建議

建議受影響用戶盡快將PAN-OS升級以下修復版本：

• PAN-OS >= 10.1.2
• PAN-OS >= 10.0.8
• PAN-OS >= 9.1.11
• PAN-OS >= 9.0.15

下載鏈接：

https://www.paloaltonetworks.cn/

六、參考鏈接

https://security.paloaltonetworks.com/CVE-2021-3050