CVE-2022-0011

Versões do PAN-OS anteriores à 10.1.3

Versões do PAN-OS anteriores à 10.0.8

Versões do PAN-OS anteriores à 9.1.12

Versões do PAN-OS 9.0

Versões do PAN-OS anteriores à 8.1.21

Versões 2.2 e 2.1 do Prisma Access

O problema decorre da forma como o software PAN-OS lida com padrões de nomes de host em listas de categorias de URL personalizadas ou listas dinâmicas externas (EDL) utilizadas em perfis de filtragem de URL. Padrões que não terminam com uma barra (/) ou terminam com um asterisco (*) podem corresponder a qualquer URL que comece com o padrão especificado, potencialmente permitindo ou bloqueando mais URLs do que o pretendido. Isso representa um risco à segurança, especialmente quando tais entradas são usadas em regras de política que permitem o tráfego. Por exemplo, example.com corresponderá a example.com.website.test, example.com.* corresponderá a example.com.website.test e example.com.^ corresponderá a example.com.test. Recomenda-se usar nomes de host exatos que terminem com uma barra (/) em vez de curingas, sempre que possível.

Para versões do PAN-OS anteriores à 10.1.3, atualize para a versão 10.1.3 ou posterior.

Para versões do PAN-OS anteriores à 10.0.8, atualize para a versão 10.0.8 ou posterior.

Para versões do PAN-OS anteriores à 9.1.12, atualize para a versão 9.1.12 ou posterior.

Para versões do PAN-OS 9.0, atualize para uma versão posterior à 9.0.

Para versões do PAN-OS anteriores à 8.1.21, atualize para a versão 8.1.21 ou posterior.

Para as versões 2.2 e 2.1 do Prisma Access, considere alterar a lista de categorias de URL ou o EDL para mitigar o risco até que uma atualização de versão seja disponibilizada.