美国 CISA 将 Palo Alto Networks PAN - OS 漏洞纳入已知被利用漏洞目录
- 浏览次数 38
- 喜欢 0
美国网络安全与基础设施安全局(CISA)将 Palo Alto Networks PAN - OS 中的一个漏洞(编号为 CVE - 2026 - 0300,CVSS 评分 9.3),纳入其已知被利用漏洞(KEV)目录。
该漏洞属于缓冲区溢出漏洞,可导致未经身份验证的远程代码执行,尤其是在用户身份认证门户(User - ID portal)暴露于互联网的情况下。
Palo Alto Networks 发布的公告称:“Palo Alto Networks PAN - OS 软件的 User - ID™认证门户(又称强制门户)服务中存在缓冲区溢出漏洞,未经身份验证的攻击者通过发送特制数据包,可在 PA 系列和 VM 系列防火墙上以 root 权限执行任意代码。若按照最佳实践指南,仅将对 User - ID™认证门户的访问限制在受信任的内部 IP 地址,可大幅降低此问题的风险。”
本周,Palo Alto Networks 警告称,PAN - OS 关键漏洞 CVE - 2026 - 0300 已在实际环境中被积极利用。
以下是受影响产品列表:
| 产品版本 | 受影响情况 | 不受影响情况 |
|---|---|---|
| 云下一代防火墙(Cloud NGFW) | 无 | 所有版本 |
| PAN - OS 12.1 | < 12.1.4 - h5 < 12.1.7 | >= 12.1.4 - h5(预计 5 月 13 日发布) = 12.1.7(预计 5 月 28 日发布) |
| PAN - OS 11.2 | < 11.2.4 - h17 < 11.2.7 - h13 < 11.2.10 - h6 < 11.2.12 | >= 11.2.4 - h17(预计 5 月 28 日发布) = 11.2.7 - h13(预计 5 月 13 日发布) = 11.2.10 - h6(预计 5 月 13 日发布) = 11.2.12(预计 5 月 28 日发布) |
| PAN - OS 11.1 | < 11.1.4 - h33 < 11.1.6 - h32 < 11.1.7 - h6 < 11.1.10 - h25 < 11.1.13 - h5 < 11.1.15 | >= 11.1.4 - h33(预计 5 月 13 日发布) = 11.1.6 - h32(预计 5 月 13 日发布) = 11.1.7 - h6(预计 5 月 28 日发布) = 11.1.10 - h25(预计 5 月 13 日发布) = 11.1.13 - h5(预计 5 月 13 日发布) = 11.1.15(预计 5 月 28 日发布) |
| PAN - OS 10.2 | < 10.2.7 - h34 < 10.2.10 - h36 < 10.2.13 - h21 < 10.2.16 - h7 < 10.2.18 - h6 | >= 10.2.7 - h34(预计 5 月 28 日发布) = 10.2.10 - h36(预计 5 月 13 日发布) = 10.2.13 - h21(预计 5 月 28 日发布) = 10.2.16 - h7(预计 5 月 28 日发布) = 10.2.18 - h6(预计 5 月 13 日发布) |
| Prisma Access | 无 | 所有版本 |
这家网络安全供应商表示,该问题不影响 Prisma Access、云下一代防火墙和 Panorama 设备。
Palo Alto Networks 称,该漏洞目前的被利用方式较为有限,主要针对用户身份认证门户暴露于公共互联网的系统。
该漏洞目前尚未修复,预计从 2026 年 5 月 13 日起提供修复程序。它影响使用用户身份认证门户的 PA 系列和 VM 系列防火墙。Palo Alto Networks 指出,遵循最佳实践(如仅将访问限制在受信任的内部网络)的组织面临的风险要低得多。
公告总结道:“已观察到有限的针对暴露于不可信 IP 地址和 / 或公共互联网的 Palo Alto Networks User - ID™认证门户的利用情况。遵循标准安全最佳实践,如将敏感门户限制在受信任的内部网络的客户,面临的风险大幅降低。”
根据《约束性操作指令(BOD)22 - 01:降低已知被利用漏洞的重大风险》,联邦民用行政部门(FCEB)各机构必须在截止日期前修复已识别的漏洞,以保护其网络免受利用该目录中漏洞的攻击。
专家还建议私营企业查看该目录,并修复其基础设施中的漏洞。
CISA 命令联邦机构在 2026 年 5 月 9 日前修复该漏洞。
消息来源:securityaffairs.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文