Palo Alto Networks Security Advisories / CVE-2025-4230

CVE-2025-4230 PAN-OS: Authenticated Admin Command Injection Vulnerability Through CLI

Urgency MODERATE

047910
Severity 5.7 · MEDIUM
Exploit Maturity UNREPORTED
Response Effort N/A
Recovery USER
Value Density DIFFUSE
Attack Vector LOCAL
Attack Complexity LOW
Attack Requirements NONE
Automatable N/A
User Interaction NONE
Product Confidentiality HIGH
Product Integrity HIGH
Product Availability HIGH
Privileges Required HIGH
Subsequent Confidentiality NONE
Subsequent Integrity NONE
Subsequent Availability NONE

Description

A command injection vulnerability in Palo Alto Networks PAN-OS® software enables an authenticated administrator to bypass system restrictions and run arbitrary commands as a root user. To be able to exploit this issue, the user must have access to the PAN-OS CLI.

The security risk posed by this issue is significantly minimized when CLI access is restricted to a limited group of administrators.

Cloud NGFW and Prisma® Access are not affected by this vulnerability.

Product Status

VersionsAffectedUnaffected
Cloud NGFWNone
All
PAN-OS 11.2< 11.2.6
>= 11.2.6
PAN-OS 11.1< 11.1.6-h14
< 11.1.10
>= 11.1.6-h14
>= 11.1.10
PAN-OS 10.2< 10.2.13-h7
>= 10.2.13-h7
PAN-OS 10.1< 10.1.14-h15
>= 10.1.14-h15
Prisma AccessNone
All

Required Configuration for Exposure

No special configuration is required to be affected by this issue.

Severity: MEDIUM, Suggested Urgency: MODERATE

CVSS-BT: 5.7 / CVSS-B: 8.4 (CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/R:U/V:D/U:Amber)

Exploitation Status

Palo Alto Networks is not aware of any malicious exploitation of this issue.

Weakness Type and Impact

CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

CAPEC-248 Command Injection

Solution

Version
Minor Version
Suggested Solution
Cloud NGFW All
No action needed.
PAN-OS 11.2
11.2.0 through 11.2.5 Upgrade to 11.2.6 or later.
PAN-OS 11.1
11.1.0 through 11.1.6 Upgrade to 11.1.6-h14 or later.
 11.1.7 through 11.1.9Upgrade to 11.1.10 or later
PAN-OS 10.2
10.2.0 through 10.2.13 Upgrade to 10.2.13-h7 or later.
PAN-OS 10.1
10.1.0 through 10.1.14 Upgrade to 10.1.14-h15 or later.
All older
unsupported
PAN-OS versions
 Upgrade to a supported fixed version.
Prisma Access All
No action needed.

Workarounds and Mitigations

No workaround or mitigation is available.

Acknowledgments

Palo Alto Networks thanks Visa Inc. for discovering and reporting this issue.

CPEs

cpe:2.3:o:palo_alto_networks:pan-os:11.2.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.0:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h6:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.0:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.13:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.12:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.11:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.10:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.7:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.6:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.2.0:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h14:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h13:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h11:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h9:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h8:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h6:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.14:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.13:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.12:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.11:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.10:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.7:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.6:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.4:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:10.1.0:*:*:*:*:*:*:*

Timeline

Updated fix version for 11.1.0.
Updated fix version.
Initial Publication
© 2025 Palo Alto Networks, Inc. All rights reserved.