CVE-2025-0123 in Cloud NGFW
Riassunto
di VulDB • 28/06/2026
Una vulnerabilità nel software PAN-OS® di Palo Alto Networks consente agli amministratori non autorizzati (senza licenza) di visualizzare dati in chiaro catturati utilizzando la funzione di packet capture https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/monitoring/take-packet-captures/take-a-custom-packet-capture nei flussi di dati HTTP/2 decrittografati che attraversano le interfacce di rete sul firewall. I flussi di dati HTTP/1.1 non sono interessati.
In condizioni normali, le catture dei pacchetti decrittografate sono disponibili per gli amministratori del firewall dopo aver ottenuto e installato una licenza gratuita Decryption Port Mirror. Il requisito della licenza garantisce che questa funzione possa essere utilizzata solo dopo l'attivazione intenzionale da parte di personale autorizzato. Per ulteriori informazioni, consultare la guida su come configurare il port mirroring per la decrittografia https://docs.paloaltonetworks.com/network-security/decryption/administration/monitoring-decryption/configure-decryption-port-mirroring .
L'amministratore deve ottenere l'accesso di rete all'interfaccia di gestione (web, SSH, console o telnet) ed effettuare con successo l'autenticazione per sfruttare questa vulnerabilità. Il rischio di questo problema può essere notevolmente ridotto limitando l'accesso all'interfaccia di gestione solo agli amministratori fidati e esclusivamente da indirizzi IP interni, secondo le nostre linee guida critiche per il deployment https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431 .
Gli amministratori del firewall dei clienti non hanno accesso alla funzione di packet capture in Cloud NGFW. Questa funzionalità è disponibile solo per il personale autorizzato di Palo Alto Networks abilitato a eseguire attività di troubleshooting.
Prisma® Access non è interessato da questa vulnerabilità.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.