技术说明
Palo Alto Networks PAN-OS软件User-ID Authentication Portal(Captive Portal)服务中的一个严重缓冲区溢出漏洞允许未经身份验证的攻击者通过特制数据包在PA-Series和VM-Series防火墙上以root权限执行任意代码。CISA确认存在针对暴露于不受信任IP地址和公共互联网的门户的主动利用,并将该漏洞添加到已知被利用漏洞目录中,要求联邦机构在2026年5月9日前完成修复。
攻击途径
通过向User-ID Authentication Portal发送特制数据包进行未经身份验证的远程代码执行。无需用户交互。如果门户暴露于互联网,CVSS评分为9.3;如果限制在受信任网络,评分为8.7。
受影响系统
启用了User-ID Authentication Portal的PA-Series和VM-Series防火墙上的PAN-OS版本10.2、11.1、11.2和12.1。根据Shadowserver扫描,目前有超过5,800台PAN-OS VM-series防火墙在线暴露。
缓解措施
Palo Alto Networks将从2026年5月13日开始发布补丁,预计5月28日完成全面推出。即时缓解措施:将User-ID Authentication Portal访问限制为仅受信任区域,或如果运营上不需要则完全禁用该门户。针对PAN-OS 11.1+的威胁防护签名已于2026年5月5日发布。