Palo Alto Networks PAN-OS 身分驗證繞過漏洞 CVE-2026-0265

來源: iThome | ID: 436 | URL: https://www.ithome.com.tw/news/175915 | 日期: 2026-05-19

內容摘要

Palo Alto Networks 於 2026-05-14 公告修補 PAN-OS 防火牆作業系統中的身分驗證繞過漏洞 CVE-2026-0265,影響啟用雲端身分驗證服務(CAS)的設備。

漏洞概要

  • CVE: CVE-2026-0265
  • 影響產品: PAN-OS(啟用雲端身分驗證服務 CAS 時)
  • 公告日期: 2026-05-14
  • 利用條件: 未經身分驗證的攻擊者,透過網路存取即可繞過防火牆身分驗證控制
  • 目前狀態: 尚未發現遭惡意利用跡象

受影響範圍

受影響不受影響
PA 系列實體設備Cloud NGFW
VM 系列虛擬防火牆Prisma Access
Panorama 管理平台

CVSS 評分

情境CVSS-BCVSS-BT
管理介面可從外部 IP 存取9.27.2
限縮管理介面來源7.54.8
其他登入介面啟用 CAS7.02.7

重要背景

  • 一週前該公司剛公布另一已遭利用漏洞 CVE-2026-0300
  • Palo Alto Networks 將此漏洞處理優先順序列為最高等級

緩解建議

  • 限縮管理介面的外部存取來源(可將 CVSS-B 從 9.2 降至 7.5)
  • 在其他登入介面的身分驗證設定啟用 CAS 可進一步降低風險

衍生頁面