CVSS: 9.0EPSS: 0%CPEs: 4EXPL: 0CVE-2020-2014 – PAN-OS: OS injection vulnerability in PAN-OS management server
https://notcve.org/view.php?id=CVE-2020-2014
An OS Command Injection vulnerability in PAN-OS management server allows authenticated users to inject and execute arbitrary shell commands with root privileges. This issue affects: All versions of PAN-OS 7.1 and 8.0; PAN-OS 8.1 versions earlier than 8.1.14; PAN-OS 9.0 versions earlier than 9.0.7. Una vulnerabilidad de Inyección de Comandos del Sistema Operativo en el servidor de administración de PAN-OS, permite a usuarios autenticados inyectar y ejecutar comandos de shell arbitrarios con privilegios root. Este problema afecta: Todas las versiones de PAN-OS 7.1 y 8.0; PAN-OS versiones 8.1 anteriores a 8.1.14; PAN-OS versiones 9.0 anteriores a 9.0.7. • https://security.paloaltonetworks.com/CVE-2020-2014 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-2013 – PAN-OS: Panorama context switch session cookie disclosure
https://notcve.org/view.php?id=CVE-2020-2013
A cleartext transmission of sensitive information vulnerability in Palo Alto Networks PAN-OS Panorama that discloses an authenticated PAN-OS administrator's PAN-OS session cookie. When an administrator issues a context switch request into a managed firewall with an affected PAN-OS Panorama version, their PAN-OS session cookie is transmitted over cleartext to the firewall. An attacker with the ability to intercept this network traffic between the firewall and Panorama can access the administrator's account and further manipulate devices managed by Panorama. This issue affects: PAN-OS 7.1 versions earlier than 7.1.26; PAN-OS 8.1 versions earlier than 8.1.13; PAN-OS 9.0 versions earlier than 9.0.6; PAN-OS 9.1 versions earlier than 9.1.1; All version of PAN-OS 8.0; Una transmisión de texto claro de vulnerabilidad de información confidencial en el Panorama PAN-OS de Palo Alto Networks que revela una cookie de sesión PAN-OS autenticada por el administrador de PAN-OS. Cuando un administrador emite una solicitud de cambio de contexto a un firewall administrado con una versión de PAN-OS Panorama afectada, su cookie de sesión de PAN-OS se transmite por medio de texto claro al firewall. • https://security.paloaltonetworks.com/CVE-2020-2013 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-2012 – PAN-OS: Panorama: XML external entity reference ('XXE') vulnerability leads the to information leak
https://notcve.org/view.php?id=CVE-2020-2012
Improper restriction of XML external entity reference ('XXE') vulnerability in Palo Alto Networks Panorama management service allows remote unauthenticated attackers with network access to the Panorama management interface to read arbitrary files on the system. This issue affects: All versions of PAN-OS for Panorama 7.1 and 8.0; PAN-OS for Panorama 8.1 versions earlier than 8.1.13; PAN-OS for Panorama 9.0 versions earlier than 9.0.7. Una vulnerabilidad de restricción inapropiada de una referencia de XML external entity ('XXE') en el servicio de administración de Palo Alto Networks Panorama, permite a atacantes no autenticados remotos con acceso de red a la interfaz de administración de Panorama leer archivos arbitrarios en el sistema. Este problema afecta: Todas las versiones de PAN-OS para Panorama 7.1 y 8.0; PAN-OS para Panorama versiones 8.1 anteriores a 8.1.13; PAN-OS para Panorama versiones 9.0 anteriores a 9.0.7. • https://security.paloaltonetworks.com/CVE-2020-2012 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-2011 – PAN-OS: Panorama registration denial of service
https://notcve.org/view.php?id=CVE-2020-2011
An improper input validation vulnerability in the configuration daemon of Palo Alto Networks PAN-OS Panorama allows for a remote unauthenticated user to send a specifically crafted registration request to the device that causes the configuration service to crash. Repeated attempts to send this request result in denial of service to all PAN-OS Panorama services by restarting the device and putting it into maintenance mode. This issue affects: All versions of PAN-OS 7.1, PAN-OS 8.0; PAN-OS 8.1 versions earlier than 8.1.14; PAN-OS 9.0 versions earlier than 9.0.7; PAN-OS 9.1 versions earlier than 9.1.0. Una vulnerabilidad de comprobación de entrada inapropiada en el demonio de configuración de Palo Alto Networks PAN-OS Panorama, permite a un usuario no autenticado remoto enviar una petición de registro específicamente diseñada hacia el dispositivo que causa que el servicio de configuración se bloquee. Repetidos intentos de enviar esta petición resultan en una denegación de servicio a todos los servicios de PAN-OS Panorama al reiniciar el dispositivo y ponerlo en modo de mantenimiento. • https://security.paloaltonetworks.com/CVE-2020-2011 • CWE-20: Improper Input Validation •
CVSS: 9.0EPSS: 0%CPEs: 4EXPL: 0CVE-2020-2010 – PAN-OS: Authenticated user command injection vulnerability
https://notcve.org/view.php?id=CVE-2020-2010
An OS command injection vulnerability in PAN-OS management interface allows an authenticated administrator to execute arbitrary OS commands with root privileges. This issue affects: All versions of PAN-OS 7.1 and 8.0; PAN-OS 8.1 versions earlier than 8.1.14; PAN-OS 9.0 versions earlier than 9.0.7. Una vulnerabilidad de inyección de comandos de Sistema Operativo en la interfaz de administración de PAN-OS, permite a un administrador autenticado ejecutar comandos arbitrarios del Sistema Operativo con privilegios root. Este problema afecta: Todas las versiones de PAN-OS 7.1 y 8.0; PAN-OS versiones 8.1 anteriores a 8.1.14; PAN-OS versiones 9.0 anteriores a 9.0.7. • https://security.paloaltonetworks.com/CVE-2020-2010 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •