这家安全公司今天承认,一个影响帕洛阿尔托网络防火墙的关键漏洞(CVE-2026-0300)正在被攻击者积极利用,并敦促客户实施缓解措施,因为他们仍在努力修复。
关于CVE-2026-0300
CVE-2026-0300是Palo Alto Networks PAN-OS软件的用户ID身份验证门户(又名俘虏门户)服务中的缓冲区溢出漏洞。该门户允许对未知流量进行用户识别,即防火墙无法自动将IP地址映射到特定用户身份的情况。
未经过身份验证的攻击者可以利用该漏洞,在PA系列和VM系列防火墙上以根权限执行任意代码,并且可以通过发送专门制作的数据包来触发。
Palo Alto Networks表示,利用是可自动化的,尽管它没有猜测目前的野外攻击是否是自动化的。
他们只是表示,“观察到针对暴露于不受信任的IP地址和/或公共互联网的帕洛阿尔托网络用户ID身份验证门户的有限利用。”
怎么办?
帕洛阿尔托网络防火墙经常通过已知的零日漏洞成为攻击者的目标。
CVE-2026-0300 会影响配置为使用用户 ID 认证门户和运行 PAN-OS 软件的 PA 系列和 VM 系列防火墙:
- 在版本12.1.4-h5、11.2.7-h13、11.2.10-h6、11.1.4-h33、11.1.6-h32、11.1.10-h25、11.1.13-h5、10.2.10-h36和10.2.18-h6之前(将于5月13日左右发布)
- 在版本12.1.7、11.2.4-h17、11.2.12、11.1.7-h6、11.1.15、10.2.7-h34、10.2.13-h21和10.2.16-h7之前(将于5月28日左右发布)
Palo Alto证实:“Prisma Access、Cloud NGFW和Panorama设备不会受到此漏洞的影响。”
在安全更新发布之前,客户可以通过以下方式降低漏洞的风险:
- 限制對脆弱門戶的訪問——只允許從受信任的區域訪問
- 如果不需要,请禁用门户(设备>用户识别>身份验证门户设置->禁用身份验证门户)
该公司补充说:“遵循标准安全最佳实践的客户,例如将敏感门户限制在受信任的内部网络上,风险会大大降低。”
一旦安全更新发布,应尽快应用,尽管对强制门户的访问应继续仅限于受信任的内部IP地址。
原文链接地址:https://www.helpnetsecurity.com/2026/05/06/palo-alto-firewalls-vulnerability-exploited-cve-2026-0300/
