Palo Alto PAN-OS零日漏洞CVE-2026-0300：CVSS 9.3正在被黑

导语：又一款防火墙沦为了攻击者的入口。Palo Alto Networks于2026年5月6日披露，PAN-OS的User-ID认证门户（也称Captive Portal）存在缓冲区溢出漏洞（CVE-2026-0300），CVSS评分9.3，位列”严重”最高档。攻击者只需向暴露在互联网的PA-Series或VM-Series防火墙发送特殊构造的数据包，无需任何认证即可在防火墙上执行任意代码，拿下root权限。补丁还在赶来的路上。

一、漏洞概述

CVE-2026-0300根源在于PAN-OS的User-ID认证门户服务存在缓冲区溢出。User-ID（也叫Captive Portal）是PAN-OS的一项核心功能，用于将IP地址与用户名进行映射认证——当防火墙无法自动识别用户身份时，就会触发该服务。

攻击者正是利用了这个服务。只需向暴露的防火墙发送精心构造的数据包，就能触发缓冲区溢出，进而在防火墙上以root权限执行任意代码。

Palo Alto Networks在官方公告中确认：”已观察到有限的攻击活动针对暴露在公网或不可信IP地址的User-ID认证门户。”

根据Shadowserver的数据，目前全球有超过5800台PAN-OS VM-Series防火墙暴露在公网上，其中亚太地区2466台，北美地区1998台。这些暴露的防火墙只要开启了User-ID认证门户，都是潜在的受害目标。

Palo Alto官方预计将在2026年5月13日发布补丁修复该漏洞。

二、漏洞技术细节

该漏洞具有以下特征：

CVSS 3.1评分：9.3（严重）

影响范围：

PAN-OS 10.1所有版本
PAN-OS 10.2所有版本
PAN-OS 11.0所有版本
PAN-OS 11.1所有版本

受影响产品：

PA-Series硬件防火墙
VM-Series虚拟防火墙

不影响：

Cloud NGFW
Panorama集中管理设备

该漏洞无需任何认证，远程攻击者可以直接利用。对于企业来说，这意味着如果你的PA-Series或VM-Series防火墙的管理接口或User-ID服务暴露在公网，攻击者已经可以摸到你的内网边界了。

三、漏洞利用现状

Palo Alto在公告中使用了”Limited exploitation observed”（观察到有限的攻击活动）这一措辞。结合近期多起防火墙零日攻击事件的模式——先是”有限”，随后安全社区发现实际已大规模失陷——我们对此类说法应保持高度警惕。

回顾近半年，Palo Alto防火墙已多次成为零日攻击的目标：

2024年11月：黑客将两个PAN-OS零日串联使用，超过2000台防火墙沦陷
2024年12月：攻击者利用PAN-OS DoS漏洞强制重启防火墙，关闭防护功能
2026年2月：另有三个PAN-OS漏洞被野外利用，攻击目标为暴露管理界面的防火墙

四、缓解措施

补丁未发布之前，Palo Alto给出的缓解建议优先级如下：

方案一（最佳）： 限制User-ID认证门户的访问来源，仅允许来自可信内部网络的流量访问该服务。可通过在防火墙策略中设置源地址限制实现。

方案二（备用）： 如果业务上不需要Captive Portal功能，直接在设备上禁用User-ID认证门户。进入Device > User Identification > Authentication Portal Settings，取消勾选”Enable Authentication Portal”。

管理员可通过以下方式快速排查：登录PAN-OS Web管理界面 → Device > User Identification > Authentication Portal Settings，确认是否启用了Captive Portal。如果该服务面向公网开放，则存在风险。