Palo Alto Networks опубликовала серию бюллетеней безопасности, охватывающих девять зарегистрированных уязвимостей (CVE) с идентификаторами с CVE-2026-0266 по CVE-2026-0274, а также два дополнительных бюллетеня PAN-SA-2026-0008 и PAN-SA-2026-0009. Уязвимости затрагивают широкий спектр продуктов: PAN-OS, Cortex XSOAR, Cortex XSIAM, GlobalProtect App для macOS, Prisma Access Agent для Linux, Prisma Browser, а также интеграцию CommvaultSecurityIQ. Вендор выпустил исправления для всех затронутых версий. Наибольшую опасность представляет уязвимость CVE-2026-0274 с оценкой CVSS-BT 8.1 (высокая степень опасности), связанная с некорректной проверкой учётных данных в интеграции CommvaultSecurityIQ для Cortex XSOAR и Cortex XSIAM. Успешная эксплуатация этой уязвимости позволяет неаутентифицированному злоумышленнику получить полный доступ к защищённым ресурсам и изменять их.
Критические уязвимости: обзор и контекст
- CVE-2026-0274 (CVSS-BT 8.1) - уязвимость слабой аутентификации в модуле CommvaultSecurityIQ Marketplace версий 1.1.0 до 1.2.0 для Cortex XSOAR и Cortex XSIAM. Вендор оценил необходимость реагирования как "наивысшая". Атакующий может удалённо, без каких-либо привилегий, выполнять операции чтения и записи, что в случае эксплуатации приводит к компрометации всей платформы оркестрации. Исправление доступно в версии 1.2.0 и выше. Обходных путей не существует.
- CVE-2026-0273 (CVSS-BT 6.1) - уязвимость внедрения команд в PAN-OS, затрагивающая все поддерживаемые ветки - 10.2, 11.1, 11.2 и 12.1. Для эксплуатации аутентифицированному администратору достаточно иметь доступ к интерфейсу командной строки (CLI) или веб-интерфейсу управления. Успешная атака позволяет выполнить произвольные команды с правами root. Вендор отмечает, что риск значительно снижается при ограничении доступа к управляющему интерфейсу доверенными IP-адресами. Для клиентов с подпиской Threat Prevention предоставлены идентификаторы угроз 510028 и 510029 (начиная с версии контента Applications and Threats 9112-10102). Исправления выпущены для PAN-OS 10.2.18-h7, 11.1.15, 11.2.12 и 12.1.7 (а также соответствующих горячих исправлений).
- CVE-2026-0272 (CVSS-BT 6.0) - уязвимость повышения привилегий в PAN-OS через CLI. Аутентифицированный администратор с доступом к командной строке может выполнять действия с правами root. Затрагивает те же версии, что и CVE-2026-0273. Исправления включены в те же сборки.
- CVE-2026-0271 (CVSS-BT 5.9) - локальное повышение привилегий в Prisma Access Agent для Linux. Пользователь с низкими привилегиями может выполнить код с повышенными правами. Затрагивает версии агента до 26.2.1. Не влияет на другие платформы (Windows, macOS, iOS, Android, Chrome OS). Исправление - обновление до 26.2.1.
- CVE-2026-0270 (CVSS-BT 4.8) - уязвимость обхода пути (path traversal) в Cortex XSOAR engine на Linux. Неаутентифицированный злоумышленник в смежной сети, способный перехватывать и подменять сетевой трафик (MITM-атака), может записать произвольные файлы на хост. Затрагивает Cortex XSOAR 8.10-8.12 и 8.13 до 8.13.0.11. Исправление - версия 8.13.0.11.
- CVE-2026-0269 (CVSS-BT 4.6) - отказ в обслуживании (DoS) в PAN-OS при обработке туннельного трафика. Аутентифицированный пользователь может вызвать перезагрузку межсетевого экрана специально сформированным пакетом; повторные попытки приводят к переходу в режим обслуживания. Уязвимость затрагивает конфигурации с IPsec-туннелями и GlobalProtect Gateway. Исправления выпущены для множества горячих версий (hotfix) по всем веткам PAN-OS.
- CVE-2026-0268 (CVSS-BT 4.4) - обход VPN-политик в Prisma Access Agent для Linux. Локальный пользователь может направить сетевой трафик вне VPN-туннеля. Исправление - версия 26.2.1.
- CVE-2026-0267 (CVSS-BT 4.4) - раскрытие информации в GlobalProtect App для macOS. Локальный пользователь может узнать настроенные пароли для отключения или удаления приложения, после чего выполнить эти действия вопреки настройкам. Уязвимость проявляется, если включена опция "Allow User to Uninstall GlobalProtect App > Allow with Password". Исправление - GlobalProtect App 6.2.8-h2 и 6.3.3-h1 для macOS. Временная мера - отключение этой опции.
- CVE-2026-0266 (CVSS-BT 1.1) - низкоопасная уязвимость межсайтового скриптинга (XSS) в веб-интерфейсе PAN-OS. Аутентифицированный администратор может сохранить вредоносный JavaScript. Риск повышен при открытом доступе к управляющему интерфейсу из интернета. Исправления включены в PAN-OS 12.1.5, 11.2.11, 11.1.14; для ветки 10.2 исправления нет (рекомендуется обновление до более новой ветки). Cloud NGFW и Prisma Access не подвержены.
Бюллетени PAN-SA-2026-0008 и PAN-SA-2026-0009
PAN-SA-2026-0008 - ежемесячное обновление Chromium для Prisma Browser. Включены исправления для более чем 170 уязвимостей, выпущенных Google в мае-июне 2026 года. Многие из них имеют статус HIGH (CVSS-BT 8.4). Исправление доступно в версии Prisma Browser 148.18.4.217. Эксплуатация этих уязвимостей в других продуктах Palo Alto не подтверждена, но вендор рекомендует обновить браузер.
PAN-SA-2026-0009 - информационный бюллетень, подтверждающий, что уязвимости OSS (CVE-2026-35385, CVE-2026-35386, CVE-2026-35388, CVE-2026-35387, CVE-2026-35414) не затрагивают Prisma SD-WAN ION из-за отсутствия условий для эксплуатации. Обновление не требуется.
Статус исправлений и рекомендации
Все перечисленные уязвимости официально не эксплуатируются в реальных атаках, о чём сообщает Palo Alto Networks. Тем не менее, учитывая характер продуктов (межсетевые экраны, системы оркестрации, VPN-агенты), потенциальное воздействие может быть критическим для организаций. В первую очередь необходимо установить обновление для CommvaultSecurityIQ Marketplace до версии 1.2.0, так как эта уязвимость не требует аутентификации и позволяет полный контроль над платформой. Затем следует обновить PAN-OS до указанных фиксированных версий, особенно 10.2.18-h7, 11.1.15, 11.2.12 и 12.1.7, которые закрывают CVE-2026-0272 и CVE-2026-0273. Для Prisma Access Agent на Linux требуется версия 26.2.1 (устраняет CVE-2026-0268 и CVE-2026-0271). Для GlobalProtect App на macOS - версии 6.2.8-h2 или 6.3.3-h1. Prisma Browser необходимо обновить до 148.18.4.217. Системные администраторы должны руководствоваться инструкциями в соответствующих бюллетенях вендора и учитывать, что для некоторых уязвимостей (например, CVE-2026-0266 и CVE-2026-0272) эффективной мерой снижения риска является изоляция управляющего интерфейса от внешних сетей. Промедление с установкой исправлений повышает вероятность компрометации сетевой инфраструктуры.
Ссылки
- https://security.paloaltonetworks.com/CVE-2026-0266
- https://security.paloaltonetworks.com/CVE-2026-0267
- https://security.paloaltonetworks.com/CVE-2026-0268
- https://security.paloaltonetworks.com/CVE-2026-0269
- https://security.paloaltonetworks.com/CVE-2026-0270
- https://security.paloaltonetworks.com/CVE-2026-0271
- https://security.paloaltonetworks.com/CVE-2026-0272
- https://security.paloaltonetworks.com/CVE-2026-0273
- https://security.paloaltonetworks.com/CVE-2026-0274
- https://security.paloaltonetworks.com/PAN-SA-2026-0008
- https://security.paloaltonetworks.com/PAN-SA-2026-0009
