CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-1996 – PAN-OS: Panorama management server log injection
https://notcve.org/view.php?id=CVE-2020-1996
A missing authorization vulnerability in the management server component of PAN-OS Panorama allows a remote unauthenticated user to inject messages into the management server ms.log file. This vulnerability can be leveraged to obfuscate an ongoing attack or fabricate log entries in the ms.log file This issue affects: All versions of PAN-OS 7.1 and 8.0; PAN-OS 8.1 versions earlier than 8.1.14; PAN-OS 9.0 versions earlier than 9.0.9. Una vulnerabilidad de falta de autorización en el componente management server de PAN-OS Panorama, permite a un usuario no autenticado remoto inyectar mensajes en el archivo ms.log del servidor de administración. Esta vulnerabilidad puede ser aprovechada para ofuscar un ataque continuado o fabricar entradas de registro en el archivo ms.log. Este problema afecta: Todas las versiones de PAN-OS 7.1 y 8.0; PAN-OS versiones 8.1 anteriores a 8.1.14; PAN-OS versiones 9.0 anteriores a 9.0.9. • https://security.paloaltonetworks.com/CVE-2020-1996 • CWE-862: Missing Authorization •
CVSS: 4.9EPSS: 0%CPEs: 4EXPL: 0CVE-2020-1994 – PAN-OS: Predictable temporary file vulnerability
https://notcve.org/view.php?id=CVE-2020-1994
A predictable temporary file vulnerability in PAN-OS allows a local authenticated user with shell access to corrupt arbitrary system files affecting the integrity of the system. This issue affects: All versions of PAN-OS 7.1 and 8.0; PAN-OS 8.1 versions earlier than 8.1.13; PAN-OS 9.0 versions earlier than 9.0.7. Una vulnerabilidad de archivo temporal predecible en PAN-OS, permite a un usuario autenticado local con acceso de shell corromper archivos de sistema arbitrarios afectando la integridad del sistema. Este problema afecta: Todas las versiones de PAN-OS 7.1 y 8.0; PAN-OS versiones 8.1 anteriores a 8.1.13; PAN-OS versiones 9.0 anteriores a 9.0.7. • https://security.paloaltonetworks.com/CVE-2020-1994 • CWE-377: Insecure Temporary File •
CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-1993 – PAN-OS: GlobalProtect Portal PHP session fixation vulnerability
https://notcve.org/view.php?id=CVE-2020-1993
The GlobalProtect Portal feature in PAN-OS does not set a new session identifier after a successful user login, which allows session fixation attacks, if an attacker is able to control a user's session ID. This issue affects: All PAN-OS 7.1 and 8.0 versions; PAN-OS 8.1 versions earlier than 8.1.14; PAN-OS 9.0 versions earlier than 9.0.8. La funcionalidad GlobalProtect Portal en PAN-OS, no establece un nuevo identificador de sesión después de un inicio de sesión de usuario con éxito, que permite ataques de fijación de sesión, si un atacante es capaz de controlar el ID de sesión de un usuario. Este problema afecta: Todas las versiones de PAN-OS 7.1 y 8.0; PAN-OS versiones 8.1 anteriores a 8.1.14; PAN-OS versiones 9.0 anteriores a 9.0.8. • https://security.paloaltonetworks.com/CVE-2020-1993 • CWE-384: Session Fixation •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-1979 – PAN-OS: A format string vulnerability in PAN-OS log daemon (logd) on Panorama allows local privilege escalation
https://notcve.org/view.php?id=CVE-2020-1979
A format string vulnerability in the PAN-OS log daemon (logd) on Panorama allows a network based attacker with knowledge of registered firewall devices and access to Panorama management interfaces to execute arbitrary code, bypassing the restricted shell and escalating privileges. This issue affects only PAN-OS 8.1 versions earlier than PAN-OS 8.1.13 on Panorama. This issue does not affect PAN-OS 7.1, PAN-OS 9.0, or later PAN-OS versions. Una vulnerabilidad de la cadena de formato en el demonio de registro (logd) de PAN-OS en Panorama permite a un atacante basado en la red con conocimiento de los dispositivos de cortafuegos registrados y acceso a las interfaces de gestión de Panorama ejecutar un código arbitrario, omitiendo el shell restringido y escalando privilegios. Este problema afecta sólo a las versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.13 en Panorama. • https://security.paloaltonetworks.com/CVE-2020-1979 • CWE-134: Use of Externally-Controlled Format String •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2019-17437 – PAN-OS: Custom-role users may escalate privileges
https://notcve.org/view.php?id=CVE-2019-17437
An improper authentication check in Palo Alto Networks PAN-OS may allow an authenticated low privileged non-superuser custom role user to elevate privileges and become superuser. This issue affects PAN-OS 7.1 versions prior to 7.1.25; 8.0 versions prior to 8.0.20; 8.1 versions prior to 8.1.11; 9.0 versions prior to 9.0.5. PAN-OS version 7.0 and prior EOL versions have not been evaluated for this issue. Una comprobación de autenticación inapropiada en PAN-OS de Palo Alto Networks puede permitir a un usuario de rol personalizado no superusuario poco privilegiado autenticado elevar los privilegios y convertirse en superusuario. Este problema afecta a PAN-OS versiones 7.1 anteriores a 7.1.25; versiones 8.0 anteriores a 8.0.20; versiones 8.1 anteriores a 8.1.11; versiones 9.0 anteriores a 9.0.5. • https://securityadvisories.paloaltonetworks.com/Home/Detail/159 • CWE-280: Improper Handling of Insufficient Permissions or Privileges CWE-287: Improper Authentication •