Vulnerabilidad en el software PAN-OS (CVE-2022-0011)

El software PAN-OS ofrece opciones para excluir sitios web específicos de la aplicación de la categoría de URL y esos sitios web son bloqueados o se permiten (dependiendo de sus reglas) independientemente de su categoría de URL asociada. Esto es hecho al crear una lista de categorías de URL personalizada o usando una lista dinámica externa (EDL) en un perfil de filtrado de URL. Cuando las entradas de estas listas presentan un patrón de nombre de host que no termina con una barra diagonal (/) o un patrón de nombre de host que termina con un asterisco (*), cualquier URL que comience con el patrón especificado es considerado una coincidencia. Las entradas con un signo de interrogación (^) al final de un patrón de nombre de host coinciden con cualquier dominio de nivel superior. Esto puede permitir o bloquear inadvertidamente más URLs de las previstas y permitir más URLs de las previstas representa un riesgo de seguridad. Por ejemplo: example.com coincidirá con example.com.website.test example.com.* coincidirá con example.com.website.test example.com.^ coincidirá con example.com.test Debe tener especial cuidado cuando use estas entradas en las reglas de política que permiten el tráfico. Siempre que sea posible, use la lista exacta de nombres de host que terminan con una barra diagonal (/) en lugar de usar comodines. PAN-OS versiones 10.1 anteriores a PAN-OS 10.1.3; PAN-OS versiones 10.0 anteriores a PAN-OS 10.0.8; PAN-OS versiones 9.1 anteriores a PAN-OS 9.1.12; todas PAN-OS versiones 9.0; PAN-OS versiones 8.1 anteriores a PAN-OS 8.1.21, y las versiones de Prisma Access 2.2 y 2.1 no permiten a clientes cambiar este comportamiento sin cambiar la lista de categorías de URL o EDL