关键信息 漏洞描述 漏洞编号: CVE-2024-8691 漏洞名称: PAN-OS: User Impersonation in GlobalProtect Portal 漏洞类型: Incorrect Authorization (CWE-863) 漏洞影响: 在Palo Alto Networks PAN-OS软件的GlobalProtect门户中存在一个漏洞,允许恶意认证的GlobalProtect用户冒充另一个GlobalProtect用户。 影响范围 受影响版本: - PAN-OS 9.1.17, PAN-OS 10.1.11, 和所有后续的PAN-OS版本。 不受影响版本: - Cloud NGFW - PAN-OS 11.2 - PAN-OS 11.1 - PAN-OS 11.0 - PAN-OS 10.2 - PAN-OS 10.1 (< 10.1.11) - PAN-OS 9.1 (< 9.1.17) - Prisma Access 安全性 严重性: MEDIUM (CVSSv4.0 Base Score: 5.3) 漏洞利用状态: 没有恶意利用的报告。 解决方案 已修复版本: PAN-OS 9.1.17, PAN-OS 10.1.11, 和所有后续的PAN-OS版本。 发现者 感谢: Palo Alto Networks感谢Claudiu Pancotan发现并报告了这个问题。 时间线 初始发布: 2024-09-12 总结 这个漏洞允许恶意认证的GlobalProtect用户冒充另一个GlobalProtect用户,影响了PAN-OS 9.1.17, PAN-OS 10.1.11, 和所有后续的PAN-OS版本。Palo Alto Networks已经发布了相应的修复版本来解决这个问题。