Múltiples vulnerabilidades en productos de Palo Alto Networks
Fecha de publicación: 02/10/2019
Importancia:
Alta
Recursos afectados:
Zingbox Inspector, versiones 1.280, 1.286, 1.288, 1.294 y anteriores.
Descripción:
Se han publicado varias vulnerabilidades de severidad alta que podrían permitir a un atacante la ejecución arbitraria de código, el uso de credenciales embebidas, la inserción de información en la base de datos o la evasión de autenticación.
Solución:
Actualizar a la versión 1.295 o posterior.
Detalle:
- La vulnerabilidad de inyección de comandos en el Zingbox Inspector CLI, podría permitir a un usuario autenticado ejecutar comandos arbitrarios del sistema. Se ha reservado el identificador CVE-2019-15014 para esta vulnerabilidad.
- Los usuarios podrían autenticarse en el software utilizando credenciales con código embebido si el acceso a SSH en el Zingbox Inspector no está restringido con medidas adicionales. Se han reservado los identificadores CVE-2019-15015 y CVE-2019-15017 para estas vulnerabilidades.
- Los usuarios autenticados podrían insertar comandos no saneados a la base de datos de Zingbox Inspector backend, lo que puede causar problemas u otros daños a la base de datos o al sistema. Se ha reservado el identificador CVE-2019-15016 para esta vulnerabilidad.
- Zingbox Inspector no requiere autenticación cuando se vincula la instancia del Inspector a un cliente diferente. Se ha reservado el identificador CVE-2019-15018 para esta vulnerabilidad.
Etiquetas:
Actualización, Vulnerabilidad
Powered by WPeMatico