Kwetsbaarheden in de firewall-migratietool van Palo Alto Networks maken het mogelijk voor aanvallers om wachtwoorden en andere gevoelige data te stelen. Vorig jaar werden drie soortgelijke kwetsbaarheden actief misbruikt door aanvallers. Palo Alto Networks Expedition is een migratietool waarmee het mogelijk is om de configuratie van een firewall van een andere leverancier om te zetten naar een firewall van Palo Alto Networks.

Een SQL Injection-kwetsbaarheid (CVE-2025-0103) in de software maakt het mogelijk voor een geauthenticeerde aanvaller om de inhoud van de Expedition-database te stelen. Het gaat dan om wachtwoordhashes, gebruikersnamen, firewallconfiguratie en API-keys. Ook maakt het lek het mogelijk voor aanvallers om willekeurige bestanden te lezen of aan te maken. Een command injection-kwetsbaarheid kan een geauthenticeerde aanvaller toegang tot cleartext wachtwoorden geven.

De impact van CVE-2025-0103 is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. CVE-2025-0107 heeft een impactscore van 6.3. De kwetsbaarheden in Palo Alto Networks Expedition waar vorig jaar actief misbruik van werd gemaakt waren door een ongeauthenticeerde aanvaller te misbruiken en hadden daardoor een hogere impactscore. Expedition is sinds 31 december end-of-life. De nu aangekondigde kwetsbaarheden zijn al voor deze datum verholpen, zo stelt Palo Alto Networks. Voor nieuwe problemen zullen geen updates meer verschijnen.