Palo Alto PAN-OS 漏洞正被积极利用，可实现远程代码执行

Source: The Hacker News

概述

Palo Alto Networks 已发布安全通告，警告其 PAN‑OS 软件中存在一个被野外利用的关键缓冲区溢出漏洞。该漏洞的编号为 CVE‑2026‑0300，允许未认证的远程代码执行。当 User‑ID 身份验证门户暴露在互联网或任何不受信任的网络上时，CVSS 评分为 9.3；当访问仅限于受信任的内部 IP 地址时，评分为 8.7。

“Palo Alto Networks PAN‑OS 软件的 User‑ID 身份验证门户（亦称 Captive Portal）服务存在缓冲区溢出漏洞，未认证攻击者可通过发送特制数据包，在 PA‑Series 和 VM‑Series 防火墙上以 root 权限执行任意代码，”公司在通告中如此说明。(source)

该缺陷目前正被有限度利用，目标是那些将 User‑ID 身份验证门户公开暴露的部署。

受影响的版本

受影响的 PAN‑OS 版本如下：

• PAN‑OS 12.1 – 版本 < 12.1.4‑h5, < 12.1.7
• PAN‑OS 11.2 – 版本 < 11.2.4‑h17, < 11.2.7‑h13, < 11.2.10‑h6, < 11.2.12
• PAN‑OS 11.1 – 版本 < 11.1.4‑h33, < 11.1.6‑h32, < 11.1.7‑h6, < 11.1.10‑h25, < 11.1.13‑h5, < 11.1.15
• PAN‑OS 10.2 – 版本 < 10.2.7‑h34, < 10.2.10‑h36, < 10.2.13‑h21, < 10.2.16‑h7, < 10.2.18‑h6

Palo Alto Networks 计划于 2026 年 5 月 13 日 开始发布补丁。该漏洞仅影响已启用 User‑ID 身份验证门户的 PA‑Series 和 VM‑Series 防火墙。

缓解措施

在补丁可用之前，用户应当：

1. 限制访问：仅允许受信任的内部区域访问 User‑ID 身份验证门户。
2. 禁用门户：如果不需要该功能，请彻底关闭。

有关保护管理接口的详细指南，请参阅 Palo Alto Networks 的建议：《Why it’s essential to secure your management interface》。

参考资料

• Palo Alto Networks 安全通告 – CVE‑2026‑0300: https://security.paloaltonetworks.com/CVE-2026-0300
• 图片来源: https://thehackernews.uk/threatlabz-vpn-risk-2026-d