研究人員警告 PAN-OS 身分驗證繞過漏洞的危險程度恐被低估
來源: iThome | 日期: 2026-05-19 | ID: 441 URL: https://www.ithome.com.tw/news/175918
漏洞概要
| 項目 | 內容 |
|---|---|
| CVE編號 | CVE-2026-0265 |
| 官方評級 | 高風險(特定配置下降至低風險) |
| 研究員建議評級 | 重大(Critical) |
| 影響系統 | PAN-OS、GlobalProtect VPN |
| 是否已遭利用 | 官方尚未發現,但研究員已成功測試 |
關鍵警告
- Hacktron AI 研究員 Harsh Jaiswal 於 X 平台指出,此漏洞應為 Critical 等級,危險程度遠超官方公告
- 研究員已成功利用此漏洞進入多家主要公司的 VPN 環境
- Palo Alto Networks 公告中提及特定配置下風險等級降低,研究員認為此說法可能導致用戶低估風險
影響範圍(Rapid7 分析)
- 漏洞存在於啟用**雲端身分驗證服務(CAS)**的 PAN-OS 環境
- CAS 非預設組態,但許多用戶主動啟用 → 實際影響範圍相當廣泛
建議行動
- Palo Alto Networks 呼籲以最高優先順序因應
- Harsh Jaiswal 預計本週發布漏洞細節部落格
衍生頁面
- Palo Alto Networks PAN-OS身分驗證繞過漏洞CVE-2026-0265 — 更新現有概念頁面
- palo-alto-networks — 受影響廠商