Un nuevo aviso de seguridad y una actualización
Índice
- Cross-Site Scripting (XSS) reflejado en el núcleo de Drupal
- [Actualización 20/02/2025] Omisión de autenticación en PAN-OS de Palo Alto Networks
Cross-Site Scripting (XSS) reflejado en el núcleo de Drupal
Versiones de Drupal:
- versiones desde la 8.0.0 hasta la versión anterior a la 10.3.13;
- versiones desde la 10.4.0 hasta la versión anterior a la 10.4.3;
- versiones desde la 11.0.0 hasta la versión anterior a la 11.0.12;
- versiones desde la 11.1.0 hasta la versión anterior a la 11.1.3.
Drupal ha publicado un aviso de seguridad, clasificado con severidad crítica, que afecta al núcleo y es de tipo Cross-site scripting reflejado.
Todas las versiones de Drupal 10 anteriores a la 10.3 han llegado al final de su vida útil y no reciben cobertura de seguridad.
Para el resto de versiones afectadas, actualizar:
- Drupal 10.3.x: v10.3.13.
- Drupal 10.4.x: v10.4.3.
- Drupal 11.0.x: v11.0.12.
- Drupal 11.1.x: v11.1.3.
La vulnerabilidad es de tipo Cross-site scripting y se produce porque el núcleo de Drupal no filtra suficientemente los mensajes de error en determinadas circunstancias.
[Actualización 20/02/2025] Omisión de autenticación en PAN-OS de Palo Alto Networks
- PAN-OS 11.2: versiones anteriores a 11.2.4-h4;
- PAN-OS 11.1: versiones anteriores a 11.1.6-h1;
- PAN-OS 10.2: versiones anteriores a 10.2.13-h3;
- PAN-OS 10.1: versiones anteriores a 10.1.14-h9.
[Actualización 20/02/2025]
Se amplía el listado de productos afectados a:
- PAN-OS 11.1: versiones anteriores a 11.1.2-h18;
- PAN-OS 10.2: versiones anteriores a la 10.2.10-h14;
- PAN-OS 10.2: versiones anteriores a la 10.2.11-h12.
[Actualización 19/02/2025]
También se ven afectados por esta vulnerabilidad las siguientes versiones de PAN-OS 10.2:
- versiones anteriores a la 10.2.7-h24;
- versiones anteriores a la 10.2.8-h21;
- versiones anteriores a la 10.2.9-h21;
- versiones anteriores a la 10.2.12-h6.
Palo Alto ha publicado una vulnerabilidad de severidad alta en el software PAN-OS que podría afectar negativamente a su integridad y confidencialidad.
Actualizar a las versiones:
- PAN-OS 10.1: versión 10.1.14-h9 o posterior.
- PAN-OS 10.2: versión 10.2.13-h3 o posterior.
- PAN-OS 11.0 (fin de vida útil): actualizar a una versión fija compatible.
- PAN-OS 11.1: versión 11.1.6-h1 o posterior.
- PAN-OS 11.2: actualizar a 11.2.4-h4 o posterior.
[Actualización 20/02/2025]
Actualizar a las siguientes versiones:
- PAN-OS 11.1: 11.1.2-h18 o 11.1.6-h1 o posterior;
- PAN-OS 10.2: 10.2.10-h14 o 10.2.13-h3 o posterior;
- PAN-OS 10.2: 10.2.11-h12 o 10.2.13-h3 o posterior.
[Actualización 19/02/2025]
Para el producto PAN-OS 10.2 actualizar a las siguientes versiones
- 10.2.7-h24 o 10.2.13-h3 o posterior;
- 10.2.8-h21 o 10.2.13-h3 o posterior;
- 10.2.9-h21 o 10.2.13-h3 o posterior;
- 10.2.12-h6 o 10.2.13-h3 o posterior.
La vulnerabilidad afecta a la interfaz web de administración y podría permitir que un atacante, no autenticado, con acceso a la red y a la interfaz web de administración, omita la autenticación que, de otro modo, requeriría la interfaz web de administración de PAN-OS e invocar ciertos scripts PHP. Si bien la invocación de estos scripts PHP no permite la ejecución remota de código, puede afectar negativamente la integridad y la confidencialidad de PAN-OS.
Se ha asignado el identificador CVE-2025-0108 para esta vulnerabilidad.