关键漏洞信息 漏洞概览 CVE ID: CVE-2017-5584 漏洞类型: Cross-Site Scripting (XSS) in the Management Web Interface 发布时间: 2017-02-22 更新时间: 2017-02-22 引用: PAN-66838, PAN-SA-2017-0004 描述 漏洞描述: 管理Web界面中存在一个持久性的跨站脚本(XSS)漏洞。该漏洞可能是由于Pan-OS中存在一个后认证漏洞,允许对管理Web界面进行持久性的跨站脚本(XSS)攻击。攻击者成功利用此漏洞可以注入任意JavaScript或HTML代码。 影响版本 受影响版本: - PAN-OS 7.1: = 7.1.8 - PAN-OS 7.0: >= 7.0.13 - PAN-OS 6.1: >= 6.1.16 严重程度 CVSSv3.1 基础评分: 5.4 严重程度: MEDIUM 弱点类型 CWE编号: CWE-79 描述: 不当的输入中和(在网页生成过程中)(跨站脚本) 解决方案 修复版本: - PAN-OS 6.1.16 及更高版本 - PAN-OS 7.0.13 及更高版本 - PAN-OS 7.1.8 及更高版本 缓解措施和缓解方法 Palo Alto Networks建议实施最佳实践,只允许访问专用管理网络的Web界面。此外,将允许与管理网络交互的IP地址限制在授权来源的子集中。 致谢 感谢 Mohamed Keffous 报告此问题给我们。