一句话:不要等下一个常规维护窗口。 受 CISA BOD 22-01 约束的美国联邦文职行政部门(FCEB)机构,应把 CVE-2026-0300 当作 KEV 紧急项处理:立即限制或关闭受影响的 User-ID Authentication Portal,无法缓解的设备先隔离或下线,并在 Palo Alto Networks 发布对应固定版本后尽快升级。其他组织也应按同等优先级处置,因为这是已遭利用的 PAN-OS 关键漏洞,攻击者可在受影响设备上获得未认证的 root 级远程代码执行能力 [1][
3][
18][
21][
27]。
为什么这次要“先止血”
Palo Alto Networks 官方公告将 CVE-2026-0300 标为 CRITICAL、CVSS 9.3,并显示其利用成熟度为 ATTACKED [21]。CERT-EU 和新加坡网络安全局(CSA)均说明,该漏洞位于 PAN-OS 的 User-ID Authentication Portal,也称 Captive Portal,本质是缓冲区溢出;攻击者可通过特制数据包,在受影响的 PA-Series 与 VM-Series 防火墙上以 root 权限执行任意代码 [
1][
3]。
换句话说,这不是普通应用漏洞,而是边界安全设备上的零日漏洞。若门户暴露在公网或不可信网络上,攻击者不需要账号、密码或用户交互,就可能直接触达高权限执行路径 [3][
21]。
立即执行清单
-
盘点真正暴露的设备。 重点查找运行 PAN-OS、启用 User-ID Authentication Portal/Captive Portal 的 PA-Series 和 VM-Series 防火墙,尤其是门户可从互联网或不可信网络访问的实例 [
3][
10]。
-
马上收敛入口。 在安全更新完成前,将 User-ID Authentication Portal 访问限制到受信任的内部网络、IP 或安全区域;如果业务不强依赖该门户,应临时禁用 [
3][
7]。
-
无法收敛就隔离或下线。 对已经暴露且暂时无法打补丁的受影响防火墙,不应只依赖“暂无告警”。如果不能限制门户访问,最稳妥做法是先从公网或不可信网络隔离,必要时临时下线或替换,直到可升级到修复版本 [
3][
7]。
-
美国联邦机构按 KEV 流程处理。 CISA 已在 2026年5月6日将 CVE-2026-0300 加入 Known Exploited Vulnerabilities(KEV,已知被利用漏洞)目录;受 BOD 22-01 约束的美国联邦文职机构,应以 CISA KEV 条目中的要求和期限为准,而不是走普通变更节奏 。
哪些环境优先级最高?
最高优先级是:PA-Series 或 VM-Series 防火墙 + 启用 User-ID Authentication Portal/Captive Portal + 可从互联网或不可信网络访问。公开通报显示,利用活动主要针对这类暴露门户 [3][
20]。
同时,Unit 42 的威胁简报称,Prisma Access、Cloud NGFW 和 Panorama appliances 不受该漏洞影响;但这不应成为放松排查的理由,因为同一组织内仍可能存在受影响的 PA-Series 或 VM-Series 防火墙 [20]。
处置原则
把 CVE-2026-0300 当作边界设备失守风险来处理:先缩小攻击面,再补丁,再取证复查。对联邦机构,这是 KEV 合规问题;对企业和其他组织,这是防火墙被 root 级控制的现实风险。最危险的做法,是在门户仍暴露的情况下等待常规维护窗口。
