一、 漏洞 CVE-2025-0111 基础信息
漏洞标题
PAN-OS: 管理Web界面认证文件读取漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在Palo Alto Networks的PAN-OS软件中存在一个经过身份验证的文件读取漏洞。该漏洞允许具有网络访问权限的经过身份验证的攻击者通过管理Web界面读取PAN-OS文件系统中可被“nobody”用户读取的文件。
根据我们推荐的最佳实践部署指南(https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431),通过仅将管理Web界面的访问权限限制给可信的内部IP地址,可以大大降低该问题的风险。
此问题不影响Cloud NGFW或Prisma Access软件。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
PAN-OS: Authenticated File Read Vulnerability in the Management Web Interface
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An authenticated file read vulnerability in the Palo Alto Networks PAN-OS software enables an authenticated attacker with network access to the management web interface to read files on the PAN-OS filesystem that are readable by the “nobody” user.
You can greatly reduce the risk of this issue by restricting access to the management web interface to only trusted internal IP addresses according to our recommended best practices deployment guidelines https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431 .
This issue does not affect Cloud NGFW or Prisma Access software.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
文件名或路径的外部可控制
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-0111 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-0111 的情报信息
-
标题: CVE-2025-0111 PAN-OS: Authenticated File Read Vulnerability in the Management Web Interface -- 🔗来源链接
标签: vendor-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2025-0111