CVE-2026-45171
Alvorlig

CVE-2026-45171: Kritisk fejl i Palo Alto Idira PSM

Sårbarhed i Palo Alto Idira PSM lader en almindelig bruger overtage hele systemet via mappefejl.

CVSS Score
8.8
Offentliggjort
11/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-72 timer

Hvad er det?

CVE-2026-45171 er en sårbarhed i Palo Alto Networks Idira Privileged Session Manager (PSM) — et system, der bruges til at overvåge og kontrollere adgang til kritiske IT-systemer. Fejlen skyldes to problemer kombineret: mangelfuld validering af brugerinput og forkert opsatte mapperettigheder (CWE-22, også kaldet path traversal). Det betyder, at en bruger, der allerede er logget ind med begrænsede rettigheder, kan narre systemet til at udføre vilkårlig kode — altså programmer valgt af angriberen. Sårbarheden rammer versioner 14.0, 14.2, 14.6 og 15.0 af produktet og er vurderet til CVSS-score 8.8 (Alvorlig).

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Palo Alto Networks Idira Privileged Session Manager i en af de berørte versioner. Produktet bruges typisk af virksomheder med strenge krav til adgangsstyring og revisionsspor — for eksempel finansielle institutioner, sundhedssektoren og offentlige myndigheder. Selv SMV’er med outsourcet IT kan være berørt, hvis deres IT-leverandør anvender PSM til at administrere adgang til virksomhedens systemer.

Hvad kan ske?

En angriber, der har et gyldigt login med selv meget begrænsede rettigheder, kan udnytte fejlen til at eksekvere vilkårlig kode på serveren. Det kan i praksis betyde:

  • Fuld overtagelse af PSM-serveren og alle systemer, der administreres herfra.
  • Adgang til følsomme data, legitimationsoplysninger (passwords og nøgler) og logfiler.
  • Mulighed for at installere bagdøre eller ransomware på tværs af virksomhedens infrastruktur.
  • Sletning eller manipulation af revisionslogge, så angrebet bliver svært at opdage efterfølgende.

Hvor alvorligt er det?

CVSS-scoren er 8.8 ud af 10, hvilket klassificeres som Alvorlig. Angrebsvektoren er netværksbaseret, kompleksiteten er lav, og angriberen behøver kun en lav privilegeret konto — ingen fysisk adgang er nødvendig. Alle tre CIA-parametre (fortrolighed, integritet og tilgængelighed) er vurderet til HØJ. Konsekvenserne ved et vellykket angreb kan derfor være meget alvorlige, særligt fordi PSM sidder i hjertet af virksomhedens adgangsstyring.

Hvad gør jeg nu?

Kontakt din IT-ansvarlige eller IT-leverandør i dag og bed dem gennemgå følgende punkter:

  1. Identificér versionen: Tjek hvilken version af Palo Alto Networks Idira PSM I bruger. Er den ældre end 15.0.3, 14.6.3, 14.2.5 eller 14.0.5, er I sårbare.
  2. Opdatér straks: Opgradér til en patchet version (15.0.3, 14.6.3, 14.2.5 eller 14.0.5 afhængigt af jeres gren). Følg Palo Alto Networks’ egne vejledninger (CyberArk Security Bulletins CA26-17 og CA26-18).
  3. Gennemgå adgange: Tjek hvem der har adgang til PSM-systemet. Fjern unødvendige brugerkonti og reducér rettigheder til et minimum.
  4. Overvåg logfiler: Kig efter uventede aktiviteter i PSM-logge fra de seneste uger. Kontakt en sikkerhedsekspert, hvis I finder noget mistænkeligt.
  5. Begræns netværksadgang: Som midlertidig foranstaltning — begræns adgang til PSM-serveren til kun nødvendige netværkssegmenter og brugere.
Tidsfrist

Opdatér inden for 24-72 timer

Sådan ser Auroa det

Vi anbefaler, at du kontakter din IT-leverandør i dag og beder dem opdatere jeres Idira PSM-installation til en patchet version. Prioritér dette højt — PSM er et centralt system, og en kompromittering kan give angribere adgang til hele jeres IT-infrastruktur. Sørg desuden for at gennemgå brugerkonti og adgangsrettigheder til systemet som en del af oprydningen.

Tidslinje

11/06/2026
CVE offentliggjort af NVD
Sårbarheden CVE-2026-45171 blev offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 8.8 (Alvorlig). Palo Alto Networks udsendte samtidig sikkerhedsbulletiner CA26-17 og CA26-18.
11/06/2026
Patch udgivet af Palo Alto Networks
Palo Alto Networks frigav rettede versioner: 15.0.3, 14.6.3, 14.2.5 og 14.0.5. Opdatering til disse versioner løser sårbarheden.
12/06/2026
Proof-of-concept kan forventes offentligt
Efter offentliggørelse af en alvorlig sårbarhed i et udbredt adgangsstyringssystem er det typisk blot dage, før sikkerhedsforskere eller trusselsaktører publicerer proof-of-concept kode. Risikoen for aktiv udnyttelse stiger markant i denne periode.
18/06/2026
Kritisk opdateringsvindue udløber
En uge efter offentliggørelse er risikoen for aktiv udnyttelse i fri natur statistisk set markant forhøjet. Systemer, der endnu ikke er opdateret, bør betragtes som i umiddelbar fare.

Konkrete eksempler

Intern medarbejder eskalerer rettigheder

En medarbejder med et lavprivilegeret login til PSM-systemet opdager sårbarheden. Ved at sende et manipuleret filsti-input til systemet kan medarbejderen placere og afvikle et ondsindet program på serveren. Hermed opnår medarbejderen fuld administratoradgang og kan nu tilgå alle systemer og data, som PSM overvåger — uden at IT-afdelingen opdager det med det samme.

Kompromitteret tredjeparts-konto misbruges

En ekstern IT-leverandør med adgang til jeres PSM-system bliver udsat for phishing, og deres loginoplysninger stjæles. Angriberen bruger den kompromitterede konto til at udnytte path traversal-fejlen, installerer en bagdør på PSM-serveren og får løbende adgang til virksomhedens kritiske systemer — uden at I ved det, fordi logfilerne efterfølgende renses.

Ransomware-angreb via PSM-server

En trusselsaktør skaffer sig et lavprivilegeret login via credential stuffing (afprøvning af lækkede passwords). Via CVE-2026-45171 opnås fuld kontrol over PSM-serveren, hvorfra angriberen spreder ransomware til alle tilsluttede servere og systemer. Virksomheden oplever total driftsstop og krav om løsesum for at gendanne data.

Ofte stillede spørgsmål

Ramte produkter

Paloaltonetworks — Idira Privileged Session Manager

≥ 14.0, < 14.0.5

Paloaltonetworks — Idira Privileged Session Manager

≥ 14.2, < 14.2.5

Paloaltonetworks — Idira Privileged Session Manager

≥ 14.6, < 14.6.3

Paloaltonetworks — Idira Privileged Session Manager

≥ 15.0, < 15.0.3

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-22

Original NVD-beskrivelse (engelsk)

Incomplete input validation and improperly configured folder permissions within Idira Privileged Session Manager (PSM) versions prior to 15.0.3, 14.6.3, 14.2.5, and 14.0.5, an authenticated, low-privileged user could potentially execute arbitrary code. CyberArk Security Bulletin: CA26-17 and CA26-18

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-45171
Offentliggjort
11/06/2026
Sidst opdateret
23/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.