文章总结： CVE-2026-0300是PAN-OSUser-ID身份验证门户服务的严重缓冲区溢出漏洞（CVSS9.3），无需认证即可远程代码执行。自4月中旬已被APT组织有限利用，通过特制数据包获取root权限并部署隧道工具进行内网渗透。建议立即隔离公网暴露的User-ID服务、升级至修复版本（如12.1.4-h5），并排查异常进程与横向移动痕迹。 综合评分： 85 文章分类： 漏洞预警,威胁情报,应急响应,网络安全,解决方案

威胁日简报 – AN-OS 远程代码执行漏洞（CVE-2026-0300）已在野利用

原创

忍者 忍者

Khan安全团队

2026年5月19日 16:57 海南

在小说阅读器读本章

去阅读

一、漏洞核心信息（CVE-2026-0300）

• 漏洞类型：严重缓冲区溢出（CWE-787）
• CVSS 评分：9.3（Critical，临界）
• 影响组件：PAN-OS 软件 User-ID 身份验证门户服务
• 攻击条件：无需身份验证，攻击者发送特制数据包即可触发
• 危害：以 root 权限 执行任意代码，完全控制防火墙

二、影响范围

受影响版本：

• PAN-OS 12.1：< 12.1.4-h5、< 12.1.7
• PAN-OS 11.2/11.1/10.x 系列：低于对应热修复版本
• 不受影响：Prisma Access、Cloud NGFW、Panorama 设备

三、修复进展

Palo Alto Networks 于 5 月 13 日起分批发布修复补丁，首批修复版本为 12.1.4-h5，预计 5 月 28 日前 完成全版本覆盖。

四、在野利用态势

自 4 月中旬 起被有限利用，攻击集群编号 CL-STA-1132，疑似 APT 组织主导。

攻击手法：

向暴露的 User-ID 认证门户发送特制数据包，触发溢出获取 root 权限。

部署 EarthWorm、ReverseSocks5 等隧道工具，建立隐蔽通信通道，实现内网穿透与横向移动。

窃取凭证、枚举内网资产、窃取敏感数据。

目标行业：政府、金融、能源、医疗等关键行业。

五、防御与处置建议

1. 立即缓解（未打补丁前）

网络隔离：禁止 User-ID 认证门户公网暴露，仅允许可信内网 IP 访问。

流量监控：监测防火墙 nginx 进程异常行为、未知网络连接（尤其是 443/80 外的出站连接）。

日志审计：排查 4 月至今的异常操作记录、日志删除 / 篡改痕迹。

2. 补丁升级

优先升级至官方修复版本：12.1.4-h5 及后续热修复版本。

升级前备份配置，验证业务兼容性。

3. 入侵排查

检查防火墙进程列表，识别 EarthWorm、ReverseSocks5 等异常进程。

核查配置变更、权限异常提升、未知账户创建等情况。

排查内网横向移动痕迹，如 AD 异常枚举、敏感服务器未授权访问。

六、总结

CVE-2026-0300 作为临界级远程代码执行漏洞，已被 APT 组织在野利用，对企业网络边界安全构成严重威胁。未及时隔离与升级的暴露设备极易被攻陷，成为内网渗透的跳板。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 忍者 忍者《威胁日简报 – AN-OS 远程代码执行漏洞（CVE-2026-0300）已在野利用》