紧急预警：Palo Alto PAN-OS 零日漏洞 CVE-2026-0300 正在被在野利用，CVSS 9.3，无补丁状态下企业应立即处置

2026年5月6日，Palo Alto Networks 发布安全公告，确认其 PAN-OS 操作系统中存在一个高危零日漏洞，编号 CVE-2026-0300。该漏洞为缓冲区溢出，存在于 PAN-OS 的 User-ID 身份认证门户（又称 Captive Portal）服务中，允许未认证攻击者通过网络发送特制数据包，在受影响的防火墙上执行任意代码并获得 Root 最高权限。目前已有证据表明该漏洞正在被有限范围的在野利用，企业网络安全团队须立即采取行动。

漏洞详情

受影响版本范围

只要 PAN-OS 设备启用了 User-ID 身份认证门户，即受影响：

攻击原理简析

该漏洞的核心在于 User-ID 身份认证门户服务中存在的缓冲区溢出缺陷。攻击者只需构造特定的恶意数据包，向暴露在网络中的 PAN-OS 设备发送，即可触发溢出，绕过所有身份认证机制，直接在防火墙上以 Root 权限执行任意代码。

从攻击链角度看：

1. 攻击者识别暴露的 PAN-OS User-ID 门户（通常为互联网可访问）
2. 发送包含恶意载荷的特制数据包
3. 触发缓冲区溢出，劫持程序控制流
4. 获得 Root Shell，完成对防火墙的完全控制
5. 可进一步横向移动至内网，部署后门或窃取数据

整个攻击过程无需任何账号密码，且在目标防火墙未安装补丁期间持续有效。

为何这是最高优先级的安全事件

Palo Alto Networks 的防火墙是全球企业网络边界最常见的设备之一。一旦攻击者通过此漏洞获得防火墙的 Root 控制权，就意味着：

• 网络边界完全失守：攻击者可以关闭防火墙策略、监听或篡改所有进出流量
• 横向渗透的跳板：以被控防火墙为据点，可进一步深入内网
• 持久化后门：植入隐藏的后门程序，即使后续打补丁也难以发现
• 供应链风险扩散：若攻击者修改了防火墙配置，可能影响上下游合作方的网络安全

临时缓解措施（补丁发布前的唯一防线）

官方补丁预计 2026 年 5 月 13 日才分阶段发布，在补丁可用之前，以下措施是唯一的防护手段：

1. 立即限制 User-ID 门户访问（最高优先级）

将 User-ID 身份认证门户的访问权限限制为仅允许来自可信内部 IP 地址，完全阻断来自互联网和不可信网络的访问。这是将 CVSS 从 9.3 降至 8.7 的最直接手段。

2. 评估并禁用非必要门户

如果企业当前不需要 Captive Portal 功能，应在 PAN-OS 管理界面中将其完全关闭，从根本上消除攻击面。

3. 审查互联网暴露资产

立即排查所有 PAN-OS 设备的 MGMT 管理接口和 User-ID 门户是否存在互联网直接暴露。若发现暴露，应优先处置。

4. 启用并审查安全日志

在补丁可用前，加强对 PAN-OS 设备日志的实时监控，特别关注异常的 User-ID 认证失败和大流量定向连接行为。

5. 制定补丁应急计划

建议现在就与 Palo Alto 技术支持渠道建立联系，确认补丁发布后的升级路径，制定包括测试、灰度、正式上线在内的完整补丁管理流程。

给 IT 运维团队的直接建议

对于管理 Palo Alto 防火墙的 IT 团队，强烈建议立即执行以下操作：

1. 今天之内登录 PAN-OS 管理控制台，检查 User-ID 身份认证门户是否已启用，以及其访问控制策略
2. 梳理所有启用状态下的 PAN-OS 设备，标注哪些存在互联网暴露风险
3. 执行上述缓解步骤第 1 条（限制 User-ID 门户 IP 白名单），即使设备数量较多也应优先完成
4. 订阅 Palo Alto Security Advisories，关注补丁发布动态
5. 如发现可疑活动迹象，立即启动应急响应流程

需要技术支持协助评估 PAN-OS 设备安全状态，或制定漏洞处置方案，可通过我们的网站留言或直接联系专业团队获取帮助。