0xBlackash/CVE-2026-0300

## 📋 概述 PAN-OS 的 User-ID Authentication Portal 中存在一个**严重的缓冲区溢出漏洞** (CWE-787)，允许**未经身份验证的攻击者**通过发送特制的数据包来实现**具有 root 权限的远程代码执行**。 **CVE ID**: CVE-2026-0300 **CVSS 4.0 评分**: **9.3 (严重)** **紧急程度**: **最高** ## 🛠️ 受影响的产品 - **PA-Series 防火墙** - **VM-Series 防火墙** ### 受影响的 PAN-OS 版本 | PAN-OS 分支 | 受影响版本 | 修复版本 (预计发布时间) | |---------------|------------------------------------|-------------------------| | **12.1** | < 12.1.4-h5, < 12.1.7 | 12.1.4-h5 (5月13日) | | **11.2** | 所有特定热修复之前的版本 | 多个版本 (5月13日–28日) | | **11.1** | 所有特定热修复之前的版本 | 多个版本 (5月13日–28日) | | **10.2** | 所有特定热修复之前的版本 | 多个版本 (5月13日–28日) | ## 🔍 漏洞详情 - **类型**: 缓冲区溢出 (越界写入) - **组件**: User-ID™ Authentication Portal (Captive Portal) - **攻击向量**: 网络 (未经身份验证) - **所需权限**: 无 - **用户交互**: 无 - **影响**: **Root 级别的任意代码执行** **利用条件**: User-ID Authentication Portal 必须已启用，并且可从不受信任的网络（例如，暴露在互联网中）访问。 ## 📸 演示 ## ⚠️ 漏洞利用状态 **正在野外被积极利用**（截至2026年5月6日）。 目前已观察到针对暴露的 User-ID portal 的有限真实攻击。 ## 🛡️ 缓解措施与解决方法（需立即采取行动） ### 1. **推荐的解决方法**（在补丁发布前） - 将对 User-ID Authentication Portal 的访问**限制**为**仅受信任的 IP 地址**。 - 如果不需要，请**禁用** Captive Portal / User-ID portal。 - 在不受信任的接口上阻止对该 portal 的访问（例如，通过安全策略）。 ### 2. **应用官方补丁** 补丁将从**2026年5月13日**开始陆续发布。 ## 📌 参考 - **官方公告**: [Palo Alto Networks - CVE-2026-0300](https://security.paloaltonetworks.com/CVE-2026-0300) - **The Hacker News**: [PAN-OS 漏洞正遭到积极利用](https://thehackernews.com/2026/05/palo-alto-pan-os-flaw-under-active.html) - **SecurityWeek**: [Palo Alto 零日漏洞已被利用](https://www.securityweek.com/palo-alto-networks-to-patch-zero-day-exploited-to-hack-firewalls/) ## 🛠️ 检测与排查技巧 - 检查发往 `/php/login.php` 或 Captive Portal 端点的异常流量。 - 监控防火墙上意外的进程或重启。 - 启用 PAN-OS 威胁防御和严格的基于区域的策略。 **保持安全** — **立即**检查您的防火墙暴露情况。 *最后更新：2026年5月6日*

标签：0day漏洞, Captive Portal, CISA项目, CVE-2026-0300, CVSS 4.0, CWE-787, EXP, Go语言工具, Network, Palo Alto Networks, PAN-OS, PoC, RCE, User-ID Authentication Portal, 严重漏洞, 内核回调, 安全补丁, 暴力破解, 未授权攻击, 缓冲区溢出, 编程工具, 网络安全, 远程代码执行, 逆向工具, 防火墙安全, 防火墙漏洞, 隐私保护