PAN-OS高危缓冲溢出漏洞可导致任意代码执行

admin 2026-07-11 04:45:47 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: PaloAltoNetworks披露PAN-OS高危缓冲区溢出漏洞CVE-2026-0288,CVSS评分7.2。该漏洞位于User-ID终端服务器代理中,未认证攻击者可远程利用导致防火墙崩溃或执行任意代码。受影响版本包括PAN-OS10.2至12.1的特定版本。建议用户立即更新至修复版本如12.1.8,并临时限制TSA连接为受信任IP地址以降低风险。 综合评分: 85 文章分类: 漏洞预警,漏洞分析,解决方案


cover_image

PAN-OS 高危缓冲溢出漏洞可导致任意代码执行

Do Son Do Son

代码卫士

2026年7月10日 15:40 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Palo Alto Networks公司披露了一个PAN-OS缓冲区溢出漏洞(CVE-2026-0288CVSS评分7.2)。该漏洞位于User-ID终端服务器代理中。网络上的未认证攻击者可利用该漏洞导致防火墙崩溃或执行代码。该公司称尚未发现已知的利用行为。

PAN-OS防火墙守护着众多企业网络的边界。因此,允许任意代码执行的漏洞尤为严重。该漏洞无需登录,也无需用户交互。值得注意的是,另一个相关的PAN-OS漏洞CVE-2026-0300已遭在野利用,并于2026年5月被列入CISA的KEV目录。这一前车之鉴提高了快速修补的紧迫性,尽管该漏洞目前尚无被利用的迹象。

攻击方式

该漏洞源于终端服务器代理中的一组缓冲区溢出。攻击者向TSA服务发送特殊构造的网络流量,这些输入会溢出缓冲区,导致拒绝服务,或可能实现任意代码执行。只有配置了至少一个TSA条目的设备才受影响。管理员可以在“设备 > 用户识别 > 终端服务器代理”下进行确认。

受影响版本

该漏洞影响PAN-OS 12.1、11.2、11.1和10.2的特定修复版本之前的版本。Cloud NGFW和Panorama不受影响。Prisma Access有两个分支被评为中等严重性。

补丁与缓解措施

用户应更新到已修复的版本,如12.1.8、11.2.13、11.1.16或10.2.18-h8。用户需在Palo Alto的安全公告中确认所用分支的确切修复版本。在完成修补之前,应将TSA连接限制为受信任的内部IP地址。仅此一步即可大幅降低该PAN-OS缓冲区溢出漏洞带来的风险。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

PAN-OS GlobalProtect 认证绕过漏洞已遭活跃利用

Palo Alto 提醒注意严重的 PAN-OS RCE漏洞

Palo Alto Networks 修复PAN-OS 中的认证绕过漏洞

Palo Alto Networks:注意潜在的 PAN-OS RCE漏洞

原文链接

CVE-2026-0288: PAN-OS Buffer Overflow Can Execute Arbitrary Code

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Do Son Do Son《PAN-OS 高危缓冲溢出漏洞可导致任意代码执行》

评论:0   参与:  0