Palo Alto - CVE-2023-6790
Date de publication :
Un défaut dans PAN-OS de Palo Alto permet à un attaquant non authentifié d’injecter du code (injection XSS) dans l'interface utilisateur. Celui-ci exécuté dans le navigateur de la victime, peut porter atteinte à l’intégrité, la confidentialité et la disponibilité des données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Injection de code indirecte (XSS)
Exploitation
La vulnérabilité exploitée est du type
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
PAN-OS versions comprises entre 8.1.0 et 8.1.25 (exlue)
PAN-OS versions comprises entre 9.0.0 et 9.0.17 (exlue)
PAN-OS versions comprises entre 9.1.0 et 9.1.16 (exlue)
PAN-OS versions comprises entre 10.0.0 et 10.0.12 (exlue)
PAN-OS versions comprises entre 10.1.0 et 10.1.9 (exlue)
PAN-OS versions comprises entre 10.2.0 et 10.2.4 (exlue)
PAN-OS versions comprises entre 11.0.0 et 11.0.1 (exlue)
Solutions ou recommandations
Mettre à jour PAN-OS vers la version 8.1.25, 9.0.17, 9.1.16, 10.0.12, 10.1.9, 10.2.4, 11.0.1, 11.1 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Palo Alto.