- شناسه CVE-2025-4231 :CVE
- CWE-77 :CWE
- yes :Advisory
- منتشر شده: ژوئن 12, 2025
- به روز شده: ژوئن 12, 2025
- امتیاز: 8.6
- نوع حمله: Command Injection
- اثر گذاری: Privilege Escalation
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Palo Alto Networks
- محصول: Cloud NGFW
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری تزریق فرمان (Command Injection) در PAN-OS شرکت Palo Alto Networks شناسایی شده است. کاربری با دسترسی مدیریتی و پس از احراز هویت میتواند از طریق رابط مدیریت وب (management web interface) فرمان های دلخواه را با سطح دسترسی root اجرا کند.
توضیحات
آسیبپذیری CVE-2025-4231 در رابط مدیریت وب PAN-OS (سیستم عامل فایروالهای نسل بعدی Palo Alto Networks یا NGFW)، ناشی از خنثیسازی نادرست المنت های خاص در دستورات مطابق با CWE-77 است. این ضعف امنیتی زمانی رخ می دهد که ورودیهای فرمان سیستم عامل مانند سمیکالن (semicolon 😉 یا پایپ (pipe |) به درستی فیلتر یا خرجی سازی نمی شوند و در نتیجه به کاربری با دسترسی مدیریتی اجازه میدهد پس از احراز هویت، فرمان های دلخواه را با دسترسی root (کاربر با بالاترین سطح دسترسی در لینوکس) اجرا کند. بهرهبرداری از این ضعف مستلزم دسترسی شبکهای به رابط مدیریت وب و احراز هویت موفق است. مهاجم میتواند ورودیهای مخرب را در فیلدهای رابط وب تزریق کرده و فرمان سیستم را اجرا کند. در صورت داشتن این شرایط مهاجم میتواند با اسکریپتها یا ابزارهای خودکار از راه دور، بدون تعامل اضافی کاربر و با دسترسی مدیریتی، سطح دسترسی را افزایش دهد و کنترل کامل دستگاه را به دست آورد. پیامدهای احتمالی شامل افشای دادههای محرمانه، تغییر تنظیمات فایروال، اختلال در در دسترسپذیری شبکه و تأثیر محدود بر سیستمهای بعدی است. طبق گزارش ها Cloud NGFW و Prisma Access تحت تأثیر این آسیب پذیری نیستند و ضعف با به روزرسانی به نسخههای 11.0.3، 10.2.8 یا بالاتر پچ می شود.
CVSS
| Score | Severity | Version | Vector String |
| 8.6 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/ SI:N/SA:N/AU:N/R:U/V:C/RE:M/U:Amber |
| 7.1 | HIGH | 4.0 | CVSS:4.0/AV:L/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/ SI:N/SA:N/AU:N/R:U/V:C/RE:M/U:Amber |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 11.0.0 before 11.0.3
affected from 10.2.0 before 10.2.8 affected at 10.1.0 |
PAN-OS |
لیست محصولات بروز شده
| Versions | Product |
| unaffected from All before 6.3.3
unaffected from 6.3.3 |
Cloud NGFW |
| unaffected from 10.2.8
unaffected from 11.0.3 unaffected at 11.2.0 unaffected at 11.1.0 |
PAN-OS |
| unaffected at All | Prisma Access |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که PAN-OS را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 933 | site:.ir “PAN-OS” | PAN-OS |
نتیجه گیری
این آسیبپذیری با شدت بالا در PAN-OS، امکان تزریق فرمان و افزایش سطح دسترسی به root را برای ادمین احراز هویتشده فراهم می کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: PAN-OS را به نسخههای 11.0.3، 10.2.8 یا بالاتر (یا شاخههای 11.1/11.2) به روزرسانی کنید؛ برای نسخههایی که در وضعیت پایان عمر (EoL) مانند 11.0 هستند، ارتقا به نسخههای پشتیبانیشده توصیه میشود.
- محدودسازی دسترسی: رابط مدیریت وب (Management Web Interface) را تنها به آدرسهای IP داخلی مورد اعتماد (trusted) محدود کنید و از سرور پرش امن (Jump Box) برای دسترسی استفاده نمایید؛ دسترسی از اینترنت یا رابطهای dataplane را مسدود کنید.
- بهترین شیوهها: مطابق مستندات Palo Alto (Administrative Access Best Practices) عمل کنید؛ پورتالها و گیت وی های GlobalProtect را بدون پروفایل مدیریت (Management Profile) پیکربندی کرده و پورتهای غیرضروری مانند 4443 را مسدود کنید.
- نظارت و ثبت لاگ: لاگهای ادمین را برای شناسایی فرمان های مشکوک (مانند سمیکالن ; یا پایپ | در ورودیها) بررسی کنید و از Panorama یا ابزارهایی مانند Splunk برای شناسایی تلاشهای افزایش سطح دسترسی بهره ببرید.
- ایزولهسازی: فایروالها را در شبکههای جداگانه اجرا کرده و دسترسی ادمین را با احراز هویت چندمرحلهای (MFA) و مدل Zero Trust تقویت نمایید.
- تست امنیتی: دستگاهها را با ابزارهایی مانند Nessus یا داخلی Palo Alto برای تزریق فرمان اسکن کرده و برای بررسی وضعیت امنیتی رابط مدیریت، از تست نفوذ منظم استفاده کنید.
اجرای این اقدامات، به ویژه محدودسازی دسترسی و بهروزرسانی سریع، ریسک اجرای فرمان ها با دسترسی root را به حداقل میرساند و امنیت فایروالهای PAN-OS را در برابر حملات داخلی و ادمینی حفظ میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
این ضعف نیاز به دسترسی شبکهای به رابط مدیریت وب و حساب ادمین معتبر دارد؛ در عمل مهاجم باید یا دارای credential مدیریتی باشد یا با سرقت/استفاده مجدد اعتبار (credential stuffing / phishing) اول ورود کند.
Execution (TA0002)
این آسیبپذیری یک Command Injection در رابط وب است — ورودیهایی که از ادمین گرفته میشوند بهدرستی فیلتر /escape نشده و امکان اجرای دستورات سیستمی با سطح root را فراهم میکنند؛ یعنی پس از احراز هویت، مهاجم میتواند دستورات دلخواه را روی دستگاه اجرا کند.
Privilege Escalation (TA0004)
نتیجه فنیِ اجرای فرمانها بهصورت مستقیم افزایش سطح دسترسی است: یک ادمین که باید محدود به عملیات کنترلی باشد میتواند با تزریق فرمان به کاربر root دسترسی پیدا کند و دسترسیهای سیستمی/فایلسیستم را بدست بیاورد.
Defense Evasion (TA0005)
با دسترسی root مهاجم میتواند لاگها را پاک/دستکاری کند، backdoor نصب کند یا ابزارهای تشخیص را غیر فعال کند تا ردپا پاک بماند.
Impact (TA0040)
پیامد عملی: اجرای دستورات با دسترسی root که میتواند منجر به اجرای کد دلخواه، تغییر پیکربندی فایروال، حذف یا سرقت دادهها و از کار انداختن سرویسها شود — در یک عبارت: کنترل کامل دستگاه و تخریب یا افشای تنظیمات امنیتی.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4231
- https://www.cvedetails.com/cve/CVE-2025-4231/
- https://security.paloaltonetworks.com/CVE-2025-4231
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4231
- https://vuldb.com/?id.312457
- https://nvd.nist.gov/vuln/detail/CVE-2025-4231
- https://cwe.mitre.org/data/definitions/77.html
