Palo Alto Networks divulgou CVE-2025-4619, uma vulnerabilidade no dataplane do PAN‑OS que permite a reinicialização remota de firewalls por meio do envio de pacotes especialmente forjados; a empresa publicou versões corrigidas e recomenda atualização.
Resumo técnico e pontuação
O defeito foi categorizado como CWE‑754 (Improper Check for Unusual or Exceptional Conditions). Palo Alto atribuiu CVSS v4.0 6.6 (Medium) à falha, enquanto a métrica CVSS‑B reportada alcança 8.7, refletindo o impacto potencial no negócio. A exploração não requer autenticação e tem complexidade baixa segundo o comunicado.
Versões e produtos afetados
A vulnerabilidade afeta PA‑Series, VM‑Series e implantações Prisma Access que rodem as versões vulneráveis de PAN‑OS: 10.2 até 10.2.13, 11.1 até 11.1.6 e 11.2 até 11.2.4. As versões PAN‑OS 12.1 e 10.1 são reportadas como não afetadas. Cloud NGFW não está impactado.
Condições de exploração
Importante: a exploração requer configuração específica no equipamento — o firewall precisa ter um URL proxy ou uma política de decrypt habilitada; as comunicações indicam que, mesmo com políticas explícitas de no‑decrypt, a falha pode ser explorável em cenários particulares.
Mitigações e orientações do fornecedor
- Palo Alto recomenda atualização para PAN‑OS 11.2.5 ou posterior em instalações 11.2; para 11.1, atualizar para 11.1.7; para 10.2, aplicar 10.2.14 conforme aplicável.
- A empresa informa que não há workarounds conhecidos abrangentes atualmente, o que eleva a prioridade de patching.
Impacto operacional
Exploração bem‑sucedida pode causar reinicializações inesperadas e, em casos de tentativas repetidas, forçar o aparelho a entrar em modo de manutenção, interrompendo conectividade e expondo organizações a riscos durante períodos de indisponibilidade. A métrica CVSS‑B (8.7) destaca o potencial de impacto no negócio.
Estado de exploração
Palo Alto Networks informa que, até o momento, não identificou exploração ativa conhecida em campo. Ainda assim, dada a facilidade de exploração e a gravidade do impacto em disponibilidade, administradores são instruídos a priorizar atualizações.
Recomendações práticas
- Mapear ativos PAN‑OS afetados e programar patching imediato nas janelas de manutenção.
- Reforçar monitoramento de telemetria e alertas de disponibilidade de firewalls para detectar reinicializações ou entradas em modo de manutenção.
- Considerar planos de contingência de rede para reduzir impacto operacional enquanto aplica correções.
As informações acima foram extraídas do comunicado técnico e do advisory associado; as publicações não trazem evidência pública de exploração ativa além do status reportado pelo fabricante.