Palo Alto Networks 本周发布紧急安全公告，确认旗下 PAN-OS 操作系统存在一处严重的缓冲区溢出漏洞，编号 CVE-2026-0300。该漏洞允许未经身份验证的远程攻击者向 PA 系列和 VM 系列防火墙发送特制数据包，从而以 root 权限执行任意代码，相当于完全控制设备。

漏洞的危害程度与部署方式密切相关。如果 User-ID 认证门户（即强制门户）被配置为可从互联网或任何非可信网络访问，风险评分将达到 CVSS 9.3 分（严重级）；而若严格限制仅允许受信任的内部 IP 访问，评分则降至 8.7 分。

Palo Alto Networks 证实，该漏洞已被攻击者用于“有限的在野利用”，具体活动瞄准了那些将 User-ID 认证门户暴露在公网上的环境。受影响的 PAN-OS 版本覆盖多个主流分支，包括：

- PAN-OS 12.1 部分版本（低于 12.1.4-h5 或 12.1.7）

- PAN-OS 11.2 部分版本（低于 11.2.4-h17、11.2.7-h13 等）

- PAN-OS 11.1 部分版本（低于 11.1.4-h33、11.1.15 等）

- PAN-OS 10.2 部分版本（低于 10.2.7-h34、10.2.18-h6 等）

值得注意的是，目前该漏洞尚无正式修复补丁。Palo Alto Networks 计划从 2026 年 5 月 13 日起陆续发布各版本的修复程序。在这段窗口期内，用户面临较高的攻击风险，尤其是公开暴露该服务的企业。

为此，官方强烈建议立即执行以下缓解措施，以最大限度降低风险：

• 将 User-ID 认证门户的访问范围限制在可信内部区域；

• 如业务上未实际用到该门户，直接将其禁用。

安全团队应尽快检查防火墙策略，确认 User-ID 认证门户是否开启，并审查相关访问控制列表。如果暂无法禁用，务必把访问源限制在可信的管理网段内，杜绝来自互联网的请求。此次威胁不涉及云防火墙及 Panorama 管理器，仅影响使用了 User-ID 认证门户的 PA 系列硬件防火墙和 VM 系列虚拟防火墙。

资讯来源：Palo Alto Networks 官方安全公告及公开报道

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！