| タイトル | Palo Alto NetworksのExpeditionにおけるSQL インジェクションの脆弱性 |
|---|---|
| 概要 | Palo Alto Networks Expeditionに存在するSQLインジェクションの脆弱性により、認証済みの攻撃者はパスワードハッシュ、ユーザー名、デバイス構成、デバイスAPIキーなどExpeditionデータベースの内容を明らかにできます。この脆弱性によって、攻撃者はExpeditionシステム上で任意のファイルを作成および読み取ることも可能です。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2025年1月11日0:00 |
| 登録日 | 2026年1月26日19:32 |
| 最終更新日 | 2026年1月26日19:32 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Palo Alto Networks |
| Expedition 1.2.101 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月26日] 掲載 |
2026年1月26日19:32 |
| 概要 | An SQL injection vulnerability in Palo Alto Networks Expedition enables an authenticated attacker to reveal Expedition database contents, such as password hashes, usernames, device configurations, and device API keys. This vulnerability also enables attackers to create and read arbitrary files on the Expedition system. |
|---|---|
| 公表日 | 2025年1月11日12:15 |
| 登録日 | 2025年1月12日4:01 |
| 最終更新日 | 2025年1月11日12:15 |