
Palo Alto Networks ha reportado una vulnerabilidad de severidad alta (CVE-2026-0288) en PAN-OS que permite a atacantes no autenticados ejecutar código arbitrario o provocar condiciones de denegación de servicio (DoS) mediante tráfico de red malicioso. La falla reside en múltiples desbordamientos de búfer en el componente User-ID Terminal Server Agent (TSA), afectando dispositivos con al menos una entrada configurada en este módulo. El ataque requiere solo acceso de red al puerto TSA y no exige interacción del usuario.
CVE y severidad
CVE-2026-0288: Severidad Alta (CVSSv3: 9.2). La exposición a redes no confiables eleva el riesgo a Crítica (CVSSv3: 7.7). No se reportan explotaciones activas en la actualidad.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Palo Alto Networks | PAN-OS | User-ID Terminal Server Agent (TSA) | PAN-OS 12.1: <12.1.4-h8, <12.1.7-h2, <12.1.8 PAN-OS 11.2: <11.2.4-h20, <11.2.7-h18, <11.2.10-h12, <11.2.13 PAN-OS 11.1: <11.1.4-h35 a 11.1.16 (varias ramas de parches) PAN-OS 10.2: <10.2.7-h36 a 10.2.18-h8 |
| Palo Alto Networks | Prisma Access | Terminal Server Agent | 11.2.0, 10.2.0 (severidad Media por requisitos de autenticación) |
Nota: Panorama y Cloud NGFW en AWS no están afectados.
Solución
Actualizar a las versiones corregidas según la rama de PAN-OS: consultar el advisory oficial para detalles específicos. Para Prisma Access, solicitar actualizaciones on-demand a través de soporte.
Recomendaciones
Priorizar la aplicación de parches en dispositivos con TSA expuesto a redes no confiables. Como medida temporal, restringir la conectividad del TSA a direcciones IP internas confiables, siguiendo las directrices de Palo Alto Networks. Validar la corrección tras la actualización mediante pruebas de conectividad y revisión de logs.
Workarounds
Restringir el acceso al puerto del Terminal Server Agent (TSA) a subredes internas seguras mediante políticas de firewall o ACLs.
