研究人員警告PAN-OS身分驗證繞過漏洞的危險程度恐被低估
漏洞簡介與風險評估
Palo Alto Networks 公佈的 PAN-OS 身分驗證繞過漏洞(CVE-2026-0265)允許未經身份驗證的攻擊者繞過管理網頁介面的原本要求,直接訪問系統並調用特定 PHP 腳本,導致敏感資料可能被洩露或系統被接管。
風險等級與實際利用情況
雖然 Palo Alto Networks 原本將該漏洞評為高風險,但指出在特定配置下,風險等級可能被降至低風險,此說法引發研究人員質疑,認為公司對實際風險的評估可能被低估。
根據多個安全資訊來源,包括 CISA 警告與 iThome 報導,該漏洞已出現被實際利用的跡象,全球已有超過 25 個惡意 IP 針對未安裝補丁的設備進行攻擊。
技術細節與相關漏洞
- 漏洞類型為「身份驗證繞過」,屬於 CWE-288(使用備用路徑或通道繞過身份驗證)。
- 相關漏洞如 CVE-2025-0108 也存在類似風險,CVSS 風險評分達 9.3,屬於極高風險。
- 研究人員指出,PAN-OS 管理介面中 Nginx 與 Apache 組件之間的路徑混淆,可能導致認證繞過。
建議與應對措施
專家呼籲用戶應以最高優先順序更新系統,並立即檢查設備配置,避免在未啟用驗證或設定錯誤的情況下暴露於風險之中。