CVE-2025-4230 PAN-OS: Authenticated Admin Command Injection Vulnerability Through CLI

Palo Alto Networks Security Advisories / CVE-2025-4230

CVE-2025-4230 PAN-OS: Authenticated Admin Command Injection Vulnerability Through CLI

Urgency MODERATE

Severity 5.7 · MEDIUM

Exploit Maturity UNREPORTED

Response Effort N/A

Recovery USER

Value Density DIFFUSE

Attack Vector LOCAL

Attack Complexity LOW

Attack Requirements NONE

Automatable N/A

User Interaction NONE

Product Confidentiality HIGH

Product Integrity HIGH

Product Availability HIGH

Privileges Required HIGH

Subsequent Confidentiality NONE

Subsequent Integrity NONE

Subsequent Availability NONE

CVE JSON CSAF

Published 2025-06-11

Updated 2025-06-30

Reference PAN-271215

Discovered externally

Description

A command injection vulnerability in Palo Alto Networks PAN-OS® software enables an authenticated administrator to bypass system restrictions and run arbitrary commands as a root user. To be able to exploit this issue, the user must have access to the PAN-OS CLI.

The security risk posed by this issue is significantly minimized when CLI access is restricted to a limited group of administrators.

Cloud NGFW and Prisma® Access are not affected by this vulnerability.

Product Status

Versions	Affected	Unaffected
Cloud NGFW	None	All
PAN-OS 11.2	< 11.2.6	>= 11.2.6
PAN-OS 11.1	< 11.1.6-h14 < 11.1.10	>= 11.1.6-h14 >= 11.1.10
PAN-OS 10.2	< 10.2.13-h7	>= 10.2.13-h7
PAN-OS 10.1	< 10.1.14-h15	>= 10.1.14-h15
Prisma Access	None	All

Required Configuration for Exposure

No special configuration is required to be affected by this issue.

Severity: MEDIUM, Suggested Urgency: MODERATE

CVSS-BT: 5.7 / CVSS-B: 8.4 (CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/R:U/V:D/U:Amber)

Exploitation Status

Palo Alto Networks is not aware of any malicious exploitation of this issue.

Weakness Type and Impact

CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

CAPEC-248 Command Injection

Solution

Version	Minor Version	Suggested Solution
Cloud NGFW All		No action needed.
PAN-OS 11.2	11.2.0 through 11.2.5	Upgrade to 11.2.6 or later.
PAN-OS 11.1	11.1.0 through 11.1.6	Upgrade to 11.1.6-h14 or later.
	11.1.7 through 11.1.9	Upgrade to 11.1.10 or later
PAN-OS 10.2	10.2.0 through 10.2.13	Upgrade to 10.2.13-h7 or later.
PAN-OS 10.1	10.1.0 through 10.1.14	Upgrade to 10.1.14-h15 or later.
All older unsupported PAN-OS versions		Upgrade to a supported fixed version.
Prisma Access All		No action needed.

Workarounds and Mitigations

No workaround or mitigation is available.

Acknowledgments

Palo Alto Networks thanks Visa Inc. for discovering and reporting this issue.

CPEs

cpe:2.3:o:palo_alto_networks:pan-os:11.2.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.0:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h6:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.0:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.12:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.11:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.10:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.7:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.6:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.0:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h14:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h13:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h11:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h9:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h8:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h6:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.13:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.12:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.11:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.10:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.7:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.6:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.0:*:*:*:*:*:*:*

Show MoreShow Less

CPE Applicability

cpe:2.3:o:palo_alto_networks:pan-os:*:*:*:*:*:*:*:* is vulnerable from (including)11.2.0 and up to (excluding)11.2.6
ORcpe:2.3:o:palo_alto_networks:pan-os:*:*:*:*:*:*:*:* is vulnerable from (including)11.1.6 and up to (excluding)11.1.6-h14
ORcpe:2.3:o:palo_alto_networks:pan-os:*:*:*:*:*:*:*:* is vulnerable from (including)11.1.0 and up to (excluding)11.1.10
ORcpe:2.3:o:palo_alto_networks:pan-os:*:*:*:*:*:*:*:* is vulnerable from (including)10.2.13 and up to (excluding)10.2.13-h7
ORcpe:2.3:o:palo_alto_networks:pan-os:*:*:*:*:*:*:*:* is vulnerable from (including)10.1.14 and up to (excluding)10.1.14-h15

Timeline

2025-06-30 Updated fix version for 11.1.0.

2025-06-24 Updated fix version.

2025-06-11 Initial Publication