Palo Alto Networks 披露了 PAN-OS 软件中存在的一个关键缓冲区溢出漏洞(CVE-2026-0300),该漏洞目前已在野外遭到主动利用。该漏洞的 CVSS 4.0 评分为 9.3(严重级别),允许未经身份验证的攻击者在受影响的 PA 系列和 VM 系列防火墙上以完整 root 权限执行任意代码,且无需凭证、无需用户交互、也无需任何特殊条件。
漏洞技术细节
该漏洞存在于 PAN-OS 的 User-ID™ 认证门户(又称 Captive Portal)服务中。未经认证的远程攻击者可发送特制数据包,触发越界写入(CWE-787),导致缓冲区溢出,最终在目标防火墙上实现 root 级代码执行。该漏洞具有网络攻击向量、零攻击复杂度且无需任何权限,完全具备自动化利用的条件,是规模化攻击活动的理想目标。
漏洞的利用成熟度已被归类为“已遭攻击”,Palo Alto Networks 确认已观测到针对暴露在非受信 IP 地址和公共互联网上的认证门户的有限攻击活动。
受影响产品范围
该漏洞影响 PA 系列和 VM 系列防火墙的多个 PAN-OS 版本,具体包括:
- PAN-OS 10.2 — 低于以下版本的版本:10.2.7-h34、10.2.10-h36、10.2.13-h21、10.2.16-h7 和 10.2.18-h6
- PAN-OS 11.1 — 低于以下版本的版本:11.1.4-h33、11.1.6-h32、11.1.7-h6、11.1.10-h25、11.1.13-h5 和 11.1.15
- PAN-OS 11.2 — 低于以下版本的版本:11.2.4-h17、11.2.7-h13、11.2.10-h6 和 11.2.12
- PAN-OS 12.1 — 低于以下版本的版本:12.1.4-h5 和 12.1.7
值得注意的是,Prisma Access、Cloud NGFW 和 Panorama 设备不受影响。该漏洞仅影响明确启用了 User-ID™ 认证门户且可从非受信网络访问的防火墙。当认证门户暴露在互联网上时,CVSS 评分达到最高威胁等级 9.3;即使在相邻网络场景下,评分仍高达 8.7,属于严重级别。
潜在危害与缓解措施
成功利用该漏洞将对产品层面的机密性、完整性和可用性造成严重影响,实质上使威胁行为者获得对目标防火墙的完全控制权。考虑到企业防火墙作为关键网络节点的高价值密度,其风险状况尤为严峻。入侵边界防火墙可促进横向移动、流量拦截、凭证窃取和完全网络接管。
Palo Alto Networks 确认,补丁将在 2026 年 5 月 13 日至 28 日之间陆续发布,具体时间取决于 PAN-OS 分支版本。在应用补丁之前,管理员应立即采取以下措施之一:
- 按照 Palo Alto 最佳实践指南,将认证门户的访问权限限制为仅允许受信内部 IP 地址
- 如果业务上不需要,则完全禁用 User-ID™ 认证门户
2026 年 5 月 5 日,已为 PAN-OS 11.1 及以上版本提供了威胁防护签名,为已授权威胁防护的组织增加了额外的检测和拦截能力。安全团队应立即通过导航至“设备 > 用户识别 > 认证门户设置”来审核其 PAN-OS 配置,以确定是否存在暴露风险。鉴于 CVE-2026-0300 已确认存在野外利用,任何可从互联网或非受信区域访问的门户都应作为紧急修复的优先事项。
参考来源:
Critical Palo Alto Firewalls Vulnerability Exploited in the Wild to Gain Root Access
更多安全技术动态,欢迎访问 云栈社区。 | 
发表于 昨天 22:57
|
查看: 4|
回复: 0
