研究人員警告 PAN-OS 身分驗證繞過漏洞的危險程度恐被低估

來源: iThome | 日期: 2026-05-19 | ID: 441 URL: https://www.ithome.com.tw/news/175918

漏洞概要

項目內容
CVE編號CVE-2026-0265
官方評級高風險(特定配置下降至低風險)
研究員建議評級重大(Critical)
影響系統PAN-OS、GlobalProtect VPN
是否已遭利用官方尚未發現,但研究員已成功測試

關鍵警告

  • Hacktron AI 研究員 Harsh Jaiswal 於 X 平台指出,此漏洞應為 Critical 等級,危險程度遠超官方公告
  • 研究員已成功利用此漏洞進入多家主要公司的 VPN 環境
  • Palo Alto Networks 公告中提及特定配置下風險等級降低,研究員認為此說法可能導致用戶低估風險

影響範圍(Rapid7 分析)

  • 漏洞存在於啟用**雲端身分驗證服務(CAS)**的 PAN-OS 環境
  • CAS 非預設組態,但許多用戶主動啟用 → 實際影響範圍相當廣泛

建議行動

  • Palo Alto Networks 呼籲以最高優先順序因應
  • Harsh Jaiswal 預計本週發布漏洞細節部落格

衍生頁面