Palo Alto Networks 发布了 Cortex XSOAR CommonScripts 的安全公告，其中涉及一个命令注入漏洞（CVE-2024-5914）。该漏洞允许未经身份验证的攻击者在集成容器的上下文中执行任意命令。该漏洞影响使用 CommonScripts 包中的 ScheduleGenericPolling 或 GenericPollingScheduledTask 脚本的集成。Palo Alto Networks 已经发布了 Cortex XSOAR CommonScripts 1.12.33 及更高版本来修复此漏洞。

💥 **漏洞概述：** Cortex XSOAR CommonScripts 包中存在一个命令注入漏洞，攻击者可利用该漏洞在集成容器的上下文中执行任意命令。攻击者无需身份验证即可利用该漏洞，这使得其危害性更大。 该漏洞影响使用 CommonScripts 包中的 ScheduleGenericPolling 或 GenericPollingScheduledTask 脚本的集成。这些脚本通常用于定期执行任务，例如收集数据或更新配置。攻击者可以利用该漏洞修改这些脚本，以便执行恶意命令，例如删除数据、修改配置或窃取敏感信息。

🛡️ **漏洞影响：** 该漏洞可能导致以下后果： * **数据泄露：** 攻击者可以利用该漏洞窃取存储在集成容器中的敏感信息，例如凭据、配置或日志。 * **系统破坏：** 攻击者可以利用该漏洞执行恶意命令，例如删除数据、修改配置或安装恶意软件。 * **服务中断：** 攻击者可以利用该漏洞使集成容器崩溃，从而导致服务中断。

🔧 **漏洞修复：** Palo Alto Networks 已发布了 Cortex XSOAR CommonScripts 1.12.33 及更高版本来修复此漏洞。建议所有用户尽快升级到最新版本。 此外，用户还可以采取以下措施来降低风险： * **移除受影响的脚本：** 移除使用 ScheduleGenericPolling 或 GenericPollingScheduledTask 脚本的集成。 * **限制访问权限：** 限制对集成容器的访问权限，以防止攻击者利用该漏洞执行恶意命令。 * **定期更新系统：** 定期更新系统和软件，以确保及时修复漏洞。

Palo Alto Networks Security Advisories /CVE-2024-5914CVE-2024-5914 Cortex XSOAR: Command Injection in CommonScripts PackUrgencyMODERATEResponse EffortMODERATERecoveryUSERValue DensityDIFFUSEAttack VectorNETWORKAttack ComplexityHIGHAttack RequirementsPRESENTAutomatableNOUser InteractionNONEProduct ConfidentialityLOWProduct IntegrityLOWProduct AvailabilityLOWPrivileges RequiredNONESubsequent ConfidentialityHIGHSubsequent IntegrityHIGHSubsequent AvailabilityNONENVDJSON Published2024-08-14 Updated2024-08-14ReferenceCRTX-95034DiscoveredexternallyDescriptionA command injection issue in Palo Alto Networks Cortex XSOAR CommonScripts Pack allows an unauthenticated attacker to execute arbitrary commands within the context of an integration container.Product StatusVersionsAffectedUnaffectedCortex XSOAR CommonScripts < 1.12.33>= 1.12.33Required Configuration for ExposureTo be exposed, an integration must make use of the ScheduleGenericPolling or GenericPollingScheduledTask scripts from the CommonScripts pack.Severity:HIGHCVSSv4.0Base Score:7 (CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:H/SI:H/SA:N/AU:N/R:U/V:D/RE:M/U:Amber)Exploitation StatusPalo Alto Networks is not aware of any malicious exploitation of this issue.Weakness TypeCWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection')SolutionThis issue is fixed in Cortex XSOAR CommonScripts 1.12.33 and all later versions.Workarounds and MitigationsRemove any integration usage of the ScheduleGenericPolling or GenericPollingScheduledTask scripts from the CommonScripts pack.AcknowledgmentsPalo Alto Networks thanks Othmar Lechner for discovering and reporting this issue.Timeline2024-08-14Initial publication