答案已發布2026年5月9日Last edited 2026年5月9日13 個來源

CVE-2026-0300 正遭利用：PAN-OS 防火牆應立即限制、隔離或修補

美國聯邦民用行政機關應把 CVE 2026 0300 當成緊急 KEV 事項處理，立即緩解、隔離或移除曝險的 PAN OS 防火牆。所有組織都應盤點是否有啟用 User ID Authentication Portal／Captive Portal，尤其是對網際網路開放的 PA Series 與 VM Series 防火牆 [3][10]。

使用 Studio Global AI 搜尋並查證事實瀏覽更多熱門頁面

5.2K0

Palo Alto Networks has disclosed a critical vulnerability in multiple PAN-OS versions, tracked as CVE-2026-0300 (CVSS 9.3), that allows unauPalo Alto Networks has disclosed a critical vulnerability in multiple PAN-OS versions, tracked as CVE-2026-0300 (CVSS 9.3), that allows unauthenticated remote attackers to execute arbitrary code with root privileges on affected firewalls. Palo Alto confirmed the vulnerability is being actively exploited in limited attaPalo Alto warns of actively exploited PAN-OS firewall flaw | The IT Nerd

**短答：**不要等例行維護窗口。CVE-2026-0300 應被視為已遭利用的緊急漏洞：先把受影響的 PAN-OS 防火牆從不受信任網路收回來，能修就修，不能修就限制、停用、隔離或下線。這個漏洞位於 Palo Alto Networks PAN-OS 的 User-ID Authentication Portal，也就是 Captive Portal／強制入口網站，可讓未驗證的遠端攻擊者在受影響的 PA-Series 與 VM-Series 防火牆上以 root 權限執行任意程式碼 ^[1]^[3]^[26]。

為什麼這次要用「緊急」等級處理

CVE-2026-0300 不是理論風險。Palo Alto Networks 的公告將其標示為已遭攻擊利用，公開資訊也指出已有有限度的實際利用活動 ^[21]^[26]。漏洞本質是 User-ID Authentication Portal／Captive Portal 服務中的緩衝區溢位，攻擊者可透過特製封包觸發，且不需要帳密或使用者互動 ^[3]^[6]。

對資安團隊來說，這組條件特別危險：防火牆通常位於網路邊界，若入口對公網或不受信任網段開放，攻擊者一旦成功取得 root 層級執行能力，就可能把防火牆變成後續入侵的跳板 ^[1]^[10]。

美國聯邦機關：照 KEV／BOD 22-01 走，不要自行降級

美國 CISA（網路安全暨基礎設施安全局）已在 2026年5月6日將 CVE-2026-0300 納入 Known Exploited Vulnerabilities，簡稱 KEV，也就是已知遭利用漏洞清單 ^[16]^[18]。對美國聯邦民用行政機關而言，這代表必須依 BOD 22-01 的要求在指定期限內完成修補或緩解 ^[27]。

實務上，聯邦機關應立即做到三件事：確認是否有受影響 PAN-OS 防火牆、立刻降低或移除外部曝險、依 Palo Alto Networks 官方公告套用修補版本。若短時間內無法修補，至少要把 User-ID Authentication Portal 限制在可信任內部網段，或暫時停用該入口 ^[3]^[7]。

企業與其他組織：即使沒有法規期限，也應照同一套節奏處理

不是美國聯邦機關，不代表可以慢慢來。這個漏洞的攻擊門檻低、影響權限高，而且已在野外遭利用；所有使用 Palo Alto Networks PAN-OS 的組織都應採取近似 KEV 的處理強度。

建議優先清單如下：

盤點曝險設備。 找出所有執行 PAN-OS、且啟用 User-ID Authentication Portal／Captive Portal 的 PA-Series 與 VM-Series 防火牆，特別是對網際網路或不受信任網段開放的設備 ^[3]^[10]。
立即收斂入口。 在修補前，把 Captive Portal 只開放給可信任內部網段；若業務上不是必需，先停用 ^[3]^[7]。
不能緩解就隔離。 如果設備無法限制入口、無法停用，或尚無適用修補版，最保守的做法是隔離該防火牆，必要時暫時移除服務，直到可安全修補為止 ^[3]^[7]。
套用官方修補版。 Palo Alto Networks 固定版本一旦可用，應盡快升級；版本目標以官方 CVE-2026-0300 advisory 為準，不要只依賴第三方整理表 ^[1]。

事件應變：曾經暴露過，就先當成可能被探測或利用

若你的 Captive Portal 曾對網際網路或不受信任 IP 開放，建議立即啟動事件應變，而不是只等修補完成。至少應保全防火牆與入口相關日誌、檢查異常 portal 流量與特製封包跡象、追查可能的後續活動，並輪替可能經過該防火牆或與其管理存取相關的敏感憑證。理由很直接：成功利用可帶來 root 層級程式碼執行能力 ^[1]^[10]^[15]。

如果組織有 SOC 或 MDR 服務，也應把 CVE-2026-0300 加入威脅狩獵範圍，觀察是否有持久化、設定異動、異常出站連線或清除痕跡等後續入侵跡象。

版本與時程：以 Palo Alto 官方公告為最終依據

公開報導對修補時程與各分支固定版本的描述並不完全一致；有些報導提到修補將分批推出，也有文章列出不同 PAN-OS 分支版本 ^[7]^[10]^[13]^[15]。因此，變更單與稽核紀錄應把 Palo Alto Networks 官方 CVE-2026-0300 advisory 作為最終版本依據，並把 CISA KEV 作為美國聯邦合規期限依據 ^[21]^[16]^[18]。

就這個 CVE 而言，Unit 42 的說明指出 Prisma Access、Cloud NGFW 與 Panorama 不受此漏洞影響；但這不應取代對 PA-Series 與 VM-Series 防火牆的完整盤點 ^[20]。

最保守、也最安全的結論

如果你管理的是美國聯邦環境：依 KEV／BOD 22-01 立即處理。若你管理的是企業、學校、金融、醫療或任何關鍵網路邊界：也請把它當成同等優先級。CVE-2026-0300 的正確處置順序很清楚——先降低曝險，再隔離無法緩解的設備，接著依官方公告修補，最後做事件應變與曝險複查。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查證事實

重點整理

美國聯邦民用行政機關應把 CVE 2026 0300 當成緊急 KEV 事項處理，立即緩解、隔離或移除曝險的 PAN OS 防火牆。
所有組織都應盤點是否有啟用 User ID Authentication Portal／Captive Portal，尤其是對網際網路開放的 PA Series 與 VM Series 防火牆 [3][10]。
在修補前，應把入口限制於可信任內部網段，或直接停用 Captive Portal [3][7]。
CISA 已於 2026年5月6日將 CVE 2026 0300 納入 KEV；美國聯邦機關需依 BOD 22 01 的期限與要求處理 [16][18][27]。

輔助視覺素材

Critical Buffer Overflow in Palo Alto Networks PAN-OS User-ID Authentication Portal (CVE-2026-0300)Critical Buffer Overflow in Palo Alto Networks PAN-OS User ... - Rapid7

大家也會問