← volver
CVE-2024-9465

Expedition: SQL Injection Leads to Firewall Admin Credential Disclosure

CVSS 9.2 CRITICALEPSS 99.6%● KEVCWE-89
En resumen

Expedition tiene una falla crítica de SQL injection que permite a atacantes acceder a la base de datos sin autenticación, robando contraseñas, nombres de usuario, configuraciones de dispositivos y claves de API. Los atacantes también pueden crear y leer archivos en el sistema afectado.

Detalle técnico

Una vulnerabilidad de SQL injection no autenticada en Expedition de Palo Alto Networks permite a atacantes ejecutar consultas SQL arbitrarias contra la base de datos, exfiltrando datos sensibles incluyendo hashes de contraseñas, configuraciones de dispositivos y credenciales de API. La vulnerabilidad también permite operaciones arbitrarias de lectura y escritura de archivos en el sistema, potencialmente llevando al compromiso completo.

Resumen generado y traducido por IA a partir de la descripción oficial.
An SQL injection vulnerability in Palo Alto Networks Expedition allows an unauthenticated attacker to reveal Expedition database contents, such as password hashes, usernames, device configurations, and device API keys. With this, attackers can also create and read arbitrary files on the Expedition system.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:H/SI:N/SA:N/AU:N/R:U/V:C/RE:H/U:Amber
Productos afectados
Palo Alto Networks · Expedition
PoCs públicas encontradas3
githubgithub.com/horizon3ai/CVE-2024-946531githubgithub.com/Qlng/CVE-2024-94650cve_referencewww.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-full-compromise/no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://security.paloaltonetworks.com/PAN-SA-2024-0010https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-9465https://www.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-full-compromise/