Palo Alto Networks PAN-OS 身分驗證繞過漏洞 CVE-2026-0265

Palo Alto Networks 於 2026-05-14 修補 PAN-OS 防火牆作業系統中的高危身分驗證繞過漏洞,影響啟用雲端身分驗證服務(CAS)的設備。

漏洞概要

  • CVE: CVE-2026-0265
  • 影響產品: PAN-OS(啟用雲端身分驗證服務 CAS 時)
  • 公告日期: 2026-05-14
  • 攻擊方式: 未經身分驗證的攻擊者透過網路存取即可繞過防火牆身分驗證控制
  • 目前狀態: 尚未發現遭惡意利用跡象

受影響範圍

受影響:PA 系列實體設備、VM 系列虛擬防火牆、Panorama 管理平台

不受影響:Cloud NGFW、Prisma Access

CVSS 評分

情境CVSS-BCVSS-BT
管理介面可從外部 IP 存取9.27.2
限縮管理介面來源7.54.8
其他登入介面啟用 CAS7.02.7

緩解建議

  • 限縮管理介面的外部存取來源(可將 CVSS-B 從 9.2 降至 7.5)
  • 在其他登入介面的身分驗證設定啟用 CAS 可進一步降低風險

背景

一週前 Palo Alto Networks 剛公布另一已遭利用漏洞 CVE-2026-0300。此次漏洞被列為最高優先處理等級,並詳細說明不同情境下的風險評分。

研究員警告:風險被低估(2026-05-19 更新)

Hacktron AI 研究員 Harsh Jaiswal 於 X 平台指出,CVE-2026-0265 應為 Critical 等級,危險程度遠超官方公告的高風險。

  • 研究員已成功利用此漏洞進入多家主要公司的 VPN 環境(GlobalProtect VPN)
  • Rapid7 分析指出:CAS 雖非預設組態,但許多用戶主動啟用,實際影響範圍相當廣泛
  • 官方公告中「特定配置下風險降低」的說法,研究員認為可能導致用戶低估威脅
  • Harsh Jaiswal 預計本週發布完整漏洞細節部落格文章

相關實體

來源文章