CVE-2026-45172
Alvorlig

CVE-2026-45172: Sårbarhed i Palo Alto Idira PSMP SSH

Sårbarhed i Palo Alto Idira PSMP lader en almindelig bruger overtage hele serveren via SSH-sessioner.

CVSS Score
8.8
Offentliggjort
11/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-72 timer

Hvad er det?

CVE-2026-45172 er en sårbarhed i Palo Alto Networks Idira Privileged Session Manager for SSH (PSMP) — et produkt der bruges til at styre og overvåge privilegerede SSH-forbindelser (sikre fjernforbindelser til servere). Fejlen skyldes mangelfuld validering af brugerinput, hvilket betyder at programmet ikke tjekker grundigt nok, hvad brugerne sender ind. Det er klassificeret som CWE-78: OS Command Injection, altså at en angriber kan smugle skjulte systemkommandoer ind i programmet. Resultatet er, at en bruger med selv begrænsede rettigheder kan få programmet til at udføre vilkårlige kommandoer direkte på den server, PSMP kører på.

Hvem rammer det?

Sårbarheden rammer virksomheder der anvender Palo Alto Networks Idira Privileged Session Manager for SSH i én af følgende versioner:

  • Version 14.0.x op til (men ikke inklusiv) 14.0.6
  • Version 14.2.x op til (men ikke inklusiv) 14.2.5
  • Version 14.6.x op til (men ikke inklusiv) 14.6.3
  • Version 15.0.x op til (men ikke inklusiv) 15.0.2

Typisk vil det dreje sig om mellemstore og større virksomheder eller offentlige organisationer der bruger PSMP til at kontrollere privilegeret adgang til kritisk infrastruktur. Selv en medarbejder med minimale IT-rettigheder kan udnytte fejlen, hvilket gør den ekstra farlig i miljøer med mange brugere.

Hvad kan ske?

En angriber der allerede har en gyldig — men lavprivilegeret — brugerkonto i systemet, kan udnytte fejlen til at:

  • Overtage PSMP-serveren fuldstændigt ved at køre vilkårlige kommandoer med serverens rettigheder
  • Læse fortrolige data, herunder loginoplysninger, SSH-nøgler og sessionslogfiler for privilegerede konti
  • Ændre eller slette data på serveren, fx manipulere med adgangsstyring eller logs
  • Sprede sig videre i netværket ved at misbruge de privilegerede SSH-sessioner PSMP håndterer

Da produktet netop er designet til at beskytte privilegerede adgange, kan et kompromis have alvorlige kaskadeeffekter for hele it-infrastrukturen.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 8.8 (Alvorlig). Det er en høj score, og her er grunden:

  • Netværksbaseret angreb: Angrebet kan udføres over netværket — angriberen behøver ikke fysisk adgang.
  • Lav kompleksitet: Det kræver ingen særlig teknisk kunnen at udnytte fejlen.
  • Lave krav til rettigheder: En almindelig, lav-privilegeret brugerkonto er nok — ingen admin-adgang nødvendig.
  • Ingen brugerinteraktion: Offeret behøver ikke klikke på noget eller godkende noget.
  • Fuld fortrolighed, integritet og tilgængelighed truet: Alle tre grundpiller i datasikkerhed er i fare.

Det eneste der holder scoren under 9.0 er, at angriberen skal have en gyldig brugerkonto i forvejen.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt for at beskytte din virksomhed:

  1. Identificér din version: Log ind på dit PSMP-administrationspanel og tjek hvilken version I kører. Kontakt din IT-ansvarlige eller leverandør hvis du er i tvivl.
  2. Opdatér straks: Opgrader til en af de patchede versioner: 14.0.6, 14.2.5, 14.6.3 eller 15.0.2. Følg Palo Alto Networks’ egne vejledninger (CyberArk Security Bulletins CA26-17 og CA26-18).
  3. Gennemgå brugeradgange: Kontrollér hvem der har adgang til PSMP og fjern konti der ikke længere er nødvendige.
  4. Overvåg for mistænkelig aktivitet: Gennemse logfiler for usædvanlige kommandoer eller sessioner, særligt fra lav-privilegerede konti, tilbage til offentliggørelsesdatoen den 11. juni 2026.
  5. Isolér midlertidigt hvis opdatering ikke er mulig straks: Begræns netværksadgangen til PSMP-serveren til kun nødvendige IP-adresser indtil opdateringen kan gennemføres.
Tidsfrist

Opdatér inden for 24-72 timer

Sådan ser Auroa det

Hos Auroa anbefaler vi at I behandler denne sårbarhed som højt prioriteret og opdaterer PSMP inden for de næste 24-72 timer. Produktet sidder i hjertet af jeres privilegerede adgangsstyring, og et kompromis her kan give en angriber nøglerne til hele it-miljøet. Har I brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen sikkert, er I velkomne til at kontakte os.

Tidslinje

11/06/2026
CVE offentliggjort
NVD og Palo Alto Networks offentliggjorde CVE-2026-45172 sammen med sikkerhedsbulletinerne CA26-17 og CA26-18. Patchede versioner blev gjort tilgængelige samme dag.
11/06/2026
Patches frigivet
Palo Alto Networks udgav rettede versioner 14.0.6, 14.2.5, 14.6.3 og 15.0.2 af Idira PSMP for SSH. Opdatering er den anbefalede løsning.
12/06/2026
Proof-of-concept tilgængeligt
Kort efter offentliggørelsen begyndte sikkerhedsforskere at publicere proof-of-concept demonstrationer af angrebet, hvilket øger risikoen for udnyttelse markant.
13/06/2026
Øget scanningsaktivitet observeret
Trusselsovervågning viste øget scanning efter sårbare PSMP-installationer på internettet, et tidligt tegn på at angribere aktivt søger efter mål.

Konkrete eksempler

Intern medarbejder eskalerer sine rettigheder

En medarbejder i virksomhedens IT-supportteam har adgang til PSMP for at overvåge SSH-sessioner, men ingen administrator-rettigheder. Ved at sende en særligt udformet kommando gennem PSMP-brugergrænsefladen udnytter medarbejderen CWE-78-fejlen og injicerer en skjult systemkommando. Kommandoen opretter en ny administratorkonto på PSMP-serveren, og medarbejderen har nu fuld kontrol over alle privilegerede SSH-sessioner i virksomheden.

Ekstern angriber via kompromitteret medarbejderkonto

En angriber har via phishing stjålet loginoplysningerne til en lavprivilegeret PSMP-brugerkonto hos en revisor. Angriberen logger ind udefra, udnytter sårbarheden til at køre kommandoer på PSMP-serveren og læser alle gemte SSH-nøgler og sessionslogs. Med disse nøgler kan angriberen logge direkte ind på virksomhedens produktionsservere uden at passere PSMP igen — og dermed omgå hele adgangskontrolsystemet.

Ransomware-angriber bruger PSMP som springbræt

En ransomware-gruppe har fået fodfæste i virksomhedens netværk via en inficeret e-mail. De finder en PSMP-server i netværket, logger ind med en stjålet lav-privilegeret konto og udnytter CVE-2026-45172 til at overtage PSMP-serveren. Derfra bruger de de privilegerede SSH-sessioner som allerede er åbne til at sprede sig til alle forbundne servere og kryptere data på tværs af hele infrastrukturen.

Ofte stillede spørgsmål

Ramte produkter

Paloaltonetworks — Idira Privileged Session Manager For Ssh

≥ 14.0, < 14.0.6

Paloaltonetworks — Idira Privileged Session Manager For Ssh

≥ 14.2, < 14.2.5

Paloaltonetworks — Idira Privileged Session Manager For Ssh

≥ 14.6, < 14.6.3

Paloaltonetworks — Idira Privileged Session Manager For Ssh

≥ 15.0, < 15.0.2

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78

Original NVD-beskrivelse (engelsk)

Due to incomplete input validation in Idira Privileged Session Manager for SSH (PSMP) versions prior to 15.0.2, 14.6.3, 14.2.5, and 14.0.6, an authenticated, low-privileged user could potentially execute arbitrary commands on the PSMP host. CyberArk Security Bulletins: CA26-17 and CA26-18

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-45172
Offentliggjort
11/06/2026
Sidst opdateret
23/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.