一、 漏洞 CVE-2025-0138 基础信息
漏洞信息
# Pragma Cloud Compute Edition:网络界面存在 session 过期不充分漏洞
## 漏洞概述
Palo Alto Networks Prisma® Cloud Compute Edition的Web界面中的Web会话在用户被删除后不会过期,这使得Prisma Cloud Compute Edition容易受到未经授权的访问。
## 影响版本
- Palo Alto Networks Prisma® Cloud Compute Edition
## 细节
在Palo Alto Networks Prisma® Cloud Compute Edition中,当用户被删除后,与这些用户关联的Web会话仍然有效,不会自动过期。这可能导致非授权用户利用过期会话继续访问系统。
## 影响
此问题会导致未经授权的人员利用未过期的Web会话访问系统,从而对系统的安全造成威胁。需要注意的是,Prisma Cloud Enterprise Edition中的Compute不受此问题影响。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Prisma Cloud Compute Edition: Insufficient Session Expiration Vulnerability in the Web Interface
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Web sessions in the web interface of Palo Alto Networks Prisma® Cloud Compute Edition do not expire when users are deleted, which makes Prisma Cloud Compute Edition susceptible to unauthorized access.
Compute in Prisma Cloud Enterprise Edition is not affected by this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的会话过期机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Palo Alto Networks Prisma Cloud Compute Edition 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Palo Alto Networks Prisma Cloud Compute Edition是美国Palo Alto Networks公司的一个云原生安全平台,提供容器、主机及无服务器工作负载的全生命周期防护。 Palo Alto Networks Prisma Cloud Compute Edition存在安全漏洞,该漏洞源于Web会话不失效可能导致未授权访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-0138 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-0138 的情报信息
-
标题: CVE-2025-0138 Prisma Cloud Compute Edition: Insufficient Session Expiration Vulnerability in the Web Interface -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-0138