Palo Alto修复GlobalProtect拒绝漏洞,无需登录即可致防火墙崩溃

Palo Alto Networks近日发布了针对GlobalProtect Gateway和Portal高危安全漏洞的安全更新，该公司表示已存在该漏洞的概念验证攻击代码。

漏洞详情与影响范围

该漏洞编号为CVE-2026-0227，CVSS评分为7.7分，被归类为拒绝服务攻击漏洞，影响GlobalProtect PAN-OS软件。漏洞产生原因是对异常条件检查不当。

Palo Alto Networks在周三发布的安全公告中表示："PAN-OS软件中的漏洞使未经身份验证的攻击者能够对防火墙进行拒绝服务攻击。反复尝试触发此问题将导致防火墙进入维护模式。"

该漏洞由一名匿名外部研究人员发现并报告，影响以下版本：

PAN-OS 12.1版本小于12.1.3-h3或12.1.4的系统

PAN-OS 11.2版本小于11.2.4-h15、11.2.7-h8或11.2.10-h2的系统

PAN-OS 11.1版本小于11.1.4-h27、11.1.6-h23、11.1.10-h9或11.1.13的系统

PAN-OS 10.2版本小于10.2.7-h32、10.2.10-h30、10.2.13-h18、10.2.16-h6或10.2.18-h1的系统

PAN-OS 10.1版本小于10.1.14-h20的系统

Prisma Access 11.2版本小于11.2.7-h8的系统

Prisma Access 10.2版本小于10.2.10-h29的系统

适用范围与缓解措施

Palo Alto Networks澄清，该漏洞仅适用于启用了GlobalProtect网关或门户的PAN-OS下一代防火墙或Prisma Access配置。该公司的云下一代防火墙不受影响。目前暂无缓解该漏洞的变通方法。

尽管目前没有证据表明该漏洞已在野外被利用，但保持设备更新至关重要，特别是考虑到暴露的GlobalProtect网关在过去一年中经历了反复的扫描活动。

Q&A

Q1：CVE-2026-0227漏洞的主要危害是什么？

A：CVE-2026-0227是一个高危拒绝服务漏洞，未经身份验证的攻击者可以利用它对Palo Alto防火墙进行攻击。反复触发该漏洞会导致防火墙进入维护模式，严重影响网络安全防护功能。

Q2：哪些Palo Alto产品受到这个漏洞影响？

A：该漏洞影响启用了GlobalProtect网关或门户的PAN-OS下一代防火墙和Prisma Access配置。涉及PAN-OS 10.1、10.2、11.1、11.2、12.1等多个版本系列，以及相应的Prisma Access版本。云下一代防火墙不受影响。

Q3：如何防护CVE-2026-0227漏洞攻击？

A：目前没有变通的缓解方法，唯一有效的防护措施是将受影响的设备升级到安全版本。由于已存在概念验证攻击代码，且GlobalProtect网关经常遭受扫描攻击，建议尽快完成安全更新。