Palo Alto Networks PAN-OS 身分驗證繞過漏洞 CVE-2026-0265
來源: iThome | ID: 436 | URL: https://www.ithome.com.tw/news/175915 | 日期: 2026-05-19
內容摘要
Palo Alto Networks 於 2026-05-14 公告修補 PAN-OS 防火牆作業系統中的身分驗證繞過漏洞 CVE-2026-0265,影響啟用雲端身分驗證服務(CAS)的設備。
漏洞概要
- CVE: CVE-2026-0265
- 影響產品: PAN-OS(啟用雲端身分驗證服務 CAS 時)
- 公告日期: 2026-05-14
- 利用條件: 未經身分驗證的攻擊者,透過網路存取即可繞過防火牆身分驗證控制
- 目前狀態: 尚未發現遭惡意利用跡象
受影響範圍
| 受影響 | 不受影響 |
|---|---|
| PA 系列實體設備 | Cloud NGFW |
| VM 系列虛擬防火牆 | Prisma Access |
| Panorama 管理平台 |
CVSS 評分
| 情境 | CVSS-B | CVSS-BT |
|---|---|---|
| 管理介面可從外部 IP 存取 | 9.2 | 7.2 |
| 限縮管理介面來源 | 7.5 | 4.8 |
| 其他登入介面啟用 CAS | 7.0 | 2.7 |
重要背景
- 一週前該公司剛公布另一已遭利用漏洞 CVE-2026-0300
- Palo Alto Networks 將此漏洞處理優先順序列為最高等級
緩解建議
- 限縮管理介面的外部存取來源(可將 CVSS-B 從 9.2 降至 7.5)
- 在其他登入介面的身分驗證設定啟用 CAS 可進一步降低風險
衍生頁面
- Palo Alto Networks PAN-OS身分驗證繞過漏洞CVE-2026-0265 — 漏洞概念頁面
- palo-alto-networks — 廠商頁面