Palo Alto Networks ha revelado una vulnerabilidad crítica de desbordamiento de búfer en el sistema PAN-OS, identificada como CVE-2026-0300, que permite a atacantes remotos no autenticados ejecutar código arbitrario con privilegios root en firewalls PA-Series y VM-Series. La falla afecta al servicio User-ID Authentication Portal y se explota mediante paquetes especialmente manipulados, con un vector de ataque de red y sin requerir interacción o credenciales del usuario.
CVE y severidad
CVE-2026-0300 evalúa una puntuación CVSS v4.0 de 9.3 (CRÍTICA), con un ataque clasificado como ATTACKED debido a su explotación activa en entornos públicos y redes no confiables. La vulnerabilidad produce impactos elevados en confidencialidad, integridad y disponibilidad, otorgando control completo del firewall comprometido.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Palo Alto Networks | PA-Series y VM-Series Firewalls | User-ID Authentication Portal (Captive Portal) en PAN-OS | 10.2 (antes de 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6), 11.1 (antes de 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15), 11.2 (antes de 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12), 12.1 (antes de 12.1.4-h5 y 12.1.7) | Firewalls con Authentication Portal habilitado y expuesto a redes no confiables |
No se ven afectados dispositivos Prisma Access, Cloud NGFW ni Panorama.
Solución
Actualizar a la última versión parcheada disponible según la rama PAN-OS, las cuales se distribuirán entre el 13 y el 28 de mayo de 2026.
Recomendaciones
Priorizar la instalación inmediata de los parches difundidos; mientras tanto, restringir el acceso al User-ID Authentication Portal solo a direcciones IP internas confiables o deshabilitar completamente este componente si no es indispensable.