【雲智維資安預警通知】

一、摘要
       Palo Alto PAN-OS 存在一個漏洞，允許遠端攻擊者利用此漏洞，於目標系統觸發遠端執行程式碼。


二、存在風險

 

        Palo Alto Networks PAN-OS 軟體的 User-ID™ 驗證入口網站（又稱 Captive Portal）服務，允許未經驗證的攻擊者透過傳送經過特殊設計的封包，在 PA 系列和 VM 系列防火牆上以 root 權限執行任意程式碼，其影響系統如下：
受影響之系統/漏洞描述：
PAN-OS 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6 之前的 PAN-OS 10.2 版本
PAN-OS 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15 之前的 PAN-OS 11.1 版本
PAN-OS 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12 之前的 PAN-OS 11.2 版本
PAN-OS PAN-OS 12.1.4-h5, 12.1.7 之前的 PAN-OS 12.1 版本


當以下兩個條件同時成立時，客戶才會受到影響：
已啟用 User-ID™ 認證入口網站：
檢查路徑： Device (設備) > User Identification (使用者識別) > Authentication Portal Settings (認證入口網站設定)。
確認項： 是否勾選了 Enable Authentication Portal (啟用認證入口網站)（無論是透明模式或重新導向模式皆適用）。


介面管理設定檔啟用了「回應頁面」且關聯至外部網路介面:
檢查路徑： Network (網路) > Interface (介面) > 選擇特定介面 > Advanced (進階) 標籤 > Management Profile (管理設定檔)。
確認項： 該設定檔內是否啟用了回應頁面功能，並確認該介面是否暴露於網際網路上。


三、建議改善措施

 

        企業及使用者如有上述漏洞版本應儘速採用官方提供之緩解措施：

 
限制認證入口網站的存取與調整介面設定
限制區域： 將 User-ID™ 認證入口網站 的存取權限限制在「受信任的區域（Trusted Zones）」。
停用回應頁面： 在所有可能接收到「不受信任或來自網際網路流量」的 L3 介面中，停用其關聯的「介面管理設定檔（Interface Management Profile）」內的 Response Pages（回應頁面） 功能。
保留範圍： 僅在合法使用者瀏覽器流量進入的「受信任/內部區域」介面上，保持啟用回應頁面。
操作步驟： 可參考 Live Community 文章與知識庫文章中的「步驟 6」來進行存取限制。
停用不必要的功能：如果環境中不需要使用 User-ID™ 認證入口網站，請直接將其停用。
啟用資安威脅防護（針對 Threat Prevention 訂閱用戶）
防護方式： 藉由啟用 Threat ID 510019 來阻斷針對此漏洞的攻擊。
版本要求：
內容版本（Content Version）：需為 9097-10022 或更高版本。
系統版本（PAN-OS）：由於解碼器（Decoder）功能的限制，必須使用 PAN-OS 11.1 或更高版本才能支援此 Threat ID。


        情資報告連結：https://security.paloaltonetworks.com/CVE-2026-0300