Podatność typu SQL injection w narzędziu Palo Alto Networks Expedition umożliwia nieuwierzytelnionemu atakującemu dostęp do zawartości bazy danych systemu oraz manipulację plikami. Jest to podatność krytyczna, aktywnie exploitowana w środowiskach produkcyjnych, wpisana do katalogu CISA KEV.
▸ Pokaż oryginał (EN)
An SQL injection vulnerability in Palo Alto Networks Expedition allows an unauthenticated attacker to reveal Expedition database contents, such as password hashes, usernames, device configurations, and device API keys. With this, attackers can also create and read arbitrary files on the Expedition system.
Atakujący bez żadnego uwierzytelnienia może wysyłać spreparowane zapytania SQL do podatnego interfejsu aplikacji Expedition. Poprzez SQL injection uzyskuje dostęp do zawartości bazy danych, w tym skrótów haseł, nazw użytkowników, konfiguracji urządzeń oraz kluczy API urządzeń. Dodatkowo, podatność pozwala na tworzenie i odczytywanie dowolnych plików w systemie plików serwera Expedition.
Atakujący może wykraść dane uwierzytelniające i konfiguracyjne zarządzanych urządzeń sieciowych (w tym klucze API), co może prowadzić do przejęcia kontroli nad infrastrukturą sieciową. Możliwość zapisu i odczytu dowolnych plików na serwerze Expedition stwarza ryzyko dalszego kompromitowania systemu.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym komunikatem bezpieczeństwa Palo Alto Networks (PAN-SA-2024-0010). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do systemu Expedition wyłącznie do zaufanych hostów oraz monitorowanie nieautoryzowanych prób dostępu.
Palo Alto Networks Expedition — wersje wskazane w referencjach producenta (security.paloaltonetworks.com/PAN-SA-2024-0010)
Podatność jest aktywnie exploitowana w środowiskach produkcyjnych — figuruje w katalogu CISA Known Exploited Vulnerabilities. Dostępne są publiczne materiały badawcze opisujące pełną ścieżkę kompromitacji systemu (horizon3.ai).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:N/R:U/V:C/RE:H/U:AmberPalo Alto Networks Expedition
APPPaloaltonetworks1.2.0 – 1.2.96 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Palo Alto Networks ↗
- Produkti
- Expedition
- Data dodania do KEVi
- 14 listopada 2024
- Termin remediation (USA)i
- 5 grudnia 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Palo Alto Networks Expedition zawiera lukę SQL injection, która pozwala niezauthentycowanemu atakującemu na ujawnienie zawartości bazy danych Expedition, takiej jak skróty haseł, nazwy użytkowników, konfiguracje urządzeń i klucze API urządzeń. Dzięki temu atakujący mogą także tworzyć i czytać dowolne pliki w systemie Expedition.
▸ Pokaż oryginał (EN)
Palo Alto Networks Expedition contains a SQL injection vulnerability that allows an unauthenticated attacker to reveal Expedition database contents, such as password hashes, usernames, device configurations, and device API keys. With this, attackers can also create and read arbitrary files on the Expedition system.
Powiązane podatności
Command injection w Palo Alto Networks Expedition — nieautoryzowane RCE jako root
Brak uwierzytelnienia w Palo Alto Networks Expedition — przejęcie konta admina
SQL Injection w Palo Alto Networks Expedition — ujawnienie danych i odczyt plików
OS command injection w Palo Alto Networks Expedition umożliwiający RCE jako root
The Palo Alto Networks Expedition Migration tool 1.0.107 and earlier may allow an unauthenticated attacker wit...