Palo Alto Networks ha anunciado dos vulnerabilidades que afectan a
dispositivos con el sistema PAN-OS, y que podrían permitir la realización de
ataques de cross-site scripting y de denegación de servicio.
El primer problema, con CVE-2016-2219, afecta a la interfaz web de
administración debido a un problema de filtrado insuficiente de los datos
introducidos por el usuario, y podría permitir la realización de ataques de
cross-site scripting.
Por otra parte, los firewalls de Palo Alto Networks ofrecen una API
para realizar consutlas y modificar la configuración del dispositivo. Aunque el
acceso a la API
está protegido por la llave API, se ha identificado un problema que podría
permitir a un atacante sin autenticar provocar condiciones de denegación de
servicio.
Ambos problemas afectan a PAN-OS 7.0.1 hasta PAN-OS 7.0.7. Se
encuentra corregido en PAN-OS 7.0.8 y posteriores.
Más información:
·
PAN-OS
API denial of service (PAN-SA-2016-0008) http://securityadvisories.paloaltonetworks.com/Home/Detail/41
·
Cross-site
scripting vulnerability (PAN-SA-2016-0009) http://securityadvisories.paloaltonetworks.com/Home/Detail/42
Fuente: Hispasec