Steven Adair

**Nome do Software Vulnerável e Versões Afetadas** Palo Alto Networks PAN-OS versões 10.2 Palo Alto Networks PAN-OS versões 11.0 Palo Alto Networks PAN-OS versões 11.1 **Description** Um problema de injeção de comando existe na função GlobalProtect do PAN-OS, resultante da criação arbitrária de arquivos. Isso permite que um invasor remoto não autenticado execute código arbitrário com privilégios de root no firewall. O problema é acionado quando a função GlobalProtect e a telemetria do dispositivo estão habilitadas. A exploração técnica envolve uma vulnerabilidade de path traversal através do cookie `SESSID`, permitindo que um invasor escreva no diretório `/opt/panlogs/tmp/device telemetry/`. Subsequentemente, ocorre uma injeção de comando na biblioteca `pansys.py`, que utiliza a função `subprocess.Popen()` para executar o `curl` para transmissão de telemetria via cron. Invasores podem usar o Internal Field Separator (`IFS`) para contornar restrições de espaço. A exploração no mundo real foi observada em campanhas como a Operation MidnightEclipse, onde invasores implantaram backdoors baseados em Python (UPSTYLE), roubaram dados de configuração e realizaram movimentação lateral usando SMB e WinRM. Estima-se que entre 40.000 e 133.000 dispositivos em todo o mundo possam estar potencialmente afetados. **Recommendations** Atualize as versões 10.2, 11.0 e 11.1 do PAN-OS para as versões corrigidas mais recentes. Como mitigação temporária, desabilite a função de telemetria do dispositivo para evitar a cadeia de injeção de comando.

**Nome do software vulnerável e versões afetadas** Zimbra Collaboration Suite (ZCS), versões 8.8.15 a 9.0 **Descrição** A funcionalidade mboximport no Zimbra Collaboration Suite (ZCS) apresenta uma falha de contorno de autenticação, permitindo que um invasor envie arquivos arbitrários para o sistema sem um authtoken. Isso pode levar à traversal de diretório e à execução remota de código. A falha se deve a uma correção incompleta de uma vulnerabilidade anterior. **Recomendações** Para as versões 8.8.15 a 9.0 do Zimbra Collaboration Suite (ZCS), considere desativar a funcionalidade mboximport até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao módulo mboximport para minimizar o risco de execução remota de código. Evite usar a funcionalidade mboximport em ambientes de produção até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zimbra Collaboration Suite, versões 8.8.x a 8.8.15, patch 29 **Descrição** Foi descoberta uma vulnerabilidade no recurso Calendário, permitindo que um invasor insira HTML contendo JavaScript executável dentro de atributos de elementos. Essa marcação não é escapada, fazendo com que marcações arbitrárias sejam injetadas no documento. A vulnerabilidade vem sendo explorada em ambiente real desde dezembro de 2021. **Recomendações** Para as versões 8.8.x a 8.8.15 patch 29 do Zimbra Collaboration Suite, atualize para a versão 8.8.15 patch 30 (atualização 1) para resolver a falha. Como solução alternativa temporária, considere restringir o acesso ao recurso Calendário até que um patch esteja disponível. Evite usar o recurso Calendário com entradas não confiáveis até que a falha seja resolvida.