Vulnerabilidad crítica en PAN-OS de Palo Alto Networks

Palo Alto Networks ha reportado una vulnerabilidad de severidad alta (CVE-2026-0288) en PAN-OS que permite a atacantes no autenticados ejecutar código arbitrario o provocar condiciones de denegación de servicio (DoS) mediante tráfico de red malicioso. La falla reside en múltiples desbordamientos de búfer en el componente User-ID Terminal Server Agent (TSA), afectando dispositivos con al menos una entrada configurada en este módulo. El ataque requiere solo acceso de red al puerto TSA y no exige interacción del usuario.

CVE y severidad

CVE-2026-0288: Severidad Alta (CVSSv3: 9.2). La exposición a redes no confiables eleva el riesgo a Crítica (CVSSv3: 7.7). No se reportan explotaciones activas en la actualidad.

Productos afectados

Fabricante Producto Componente Versiones afectadas
Palo Alto Networks PAN-OS User-ID Terminal Server Agent (TSA) PAN-OS 12.1: <12.1.4-h8, <12.1.7-h2, <12.1.8
PAN-OS 11.2: <11.2.4-h20, <11.2.7-h18, <11.2.10-h12, <11.2.13
PAN-OS 11.1: <11.1.4-h35 a 11.1.16 (varias ramas de parches)
PAN-OS 10.2: <10.2.7-h36 a 10.2.18-h8
Palo Alto Networks Prisma Access Terminal Server Agent 11.2.0, 10.2.0 (severidad Media por requisitos de autenticación)

Nota: Panorama y Cloud NGFW en AWS no están afectados.

Solución

Actualizar a las versiones corregidas según la rama de PAN-OS: consultar el advisory oficial para detalles específicos. Para Prisma Access, solicitar actualizaciones on-demand a través de soporte.

Recomendaciones

Priorizar la aplicación de parches en dispositivos con TSA expuesto a redes no confiables. Como medida temporal, restringir la conectividad del TSA a direcciones IP internas confiables, siguiendo las directrices de Palo Alto Networks. Validar la corrección tras la actualización mediante pruebas de conectividad y revisión de logs.

Workarounds

Restringir el acceso al puerto del Terminal Server Agent (TSA) a subredes internas seguras mediante políticas de firewall o ACLs.

Referencias