Palo Alto Networks发布了一个反映跨站点脚本(XSS)漏洞的安全公告,该漏洞被跟踪为CVE-2025-0133,影响其PAN-OS软件中的GlobalProtect网关和门户组件。该漏洞允许攻击者制作看似合法的钓鱼链接,并可以在经过身份验证的用户的浏览器中执行恶意JavaScript。

虽然默认配置下的CVSS基数为5.1(Low),但启用Clientless VPN时风险增加到6.9(Medium)。

根据咨询:“Palo Alto Networks PAN-OS软件的GlobalProtect网关和门户功能中反映的跨站点脚本(XSS)漏洞,可以在经过身份验证的Captive Portal用户浏览器的上下文中执行恶意JavaScript,当他们点击经特殊制作的链接时。

这使得该漏洞特别适用于网络钓鱼活动和凭据窃取场景,特别是在使用无客户端VPN功能的环境中。

“此漏洞的完整性影响仅限于使攻击者能够创建似乎托管在GlobalProtect门户上的网络钓鱼和凭证窃取链接,”该公司补充说。

此漏洞特别适用于“具有启用的 GlobalProtect 网关或门户的 PAN-OS 防火墙配置”。以下 PAN-OS 版本受到影响:

云NGFW:所有版本PAN-OS 11.2: 11.2.7 之前的版本PAN-OS 11.1:11 之前的版本PAN-OS 10.2:10.17 之前的版本PAN-OS 10.1:所有版本

需要注意的是,Prisma Access 不受影响。

截至目前,“Palo Alto Networks exploitation不知道任何恶意利用这个问题”。但是,该漏洞可以使用概念验证漏洞漏洞。

解决方案是升级到未受影响的PAN-OS版本:

PAN-OS 11.2:升级到11.2.7或更高版本(ETA 2025年6月)PAN-OS 11.1: 升级到 11.11 或更高版本(ETA 2025年7月)PAN-OS 10.2:升级到10.2.17或更高版本(ETA 2025年8月)PAN-OS 10.1:升级到10.2.17或更高版本(ETA 2025年8月)。请记住,PAN-OS 10.1支持有限,并于2025年8月达到软件EOL。对于所有其他不受支持的 PAN-OS 版本,建议升级到受支持的固定版本。

对于具有威胁防护订阅的客户,可以显著缓解。“威胁 ID 510003 和 510004(在应用程序和威胁内容版本 8970 中引入)vulnerability”可以阻止此漏洞的攻击。这些威胁ID已经“在阻止攻击的Prisma Access上启用”。

此外,禁用无客户端VPN是减少此漏洞严重程度的可行解决方法。有关全面细节,Palo Alto Networks 建议查看安全咨询 PAN-SA-2025-0005。