Vulnerabilidad en firewalls Palo Alto

Fecha de publicación: 

Resumen ejecutivo

La vulnerabilidad CVE‑2026‑0300, con gravedad crítica (CVSS 9.3), afecta al software PAN‑OS de Palo Alto Networks, permitiendo a atacantes no autenticados ejecutar código arbitrario con privilegios de root mediante el envío de paquetes especialmente diseñados al portal de autenticación User‑ID. El fallo impacta en firewalls de las series PA‑Series y VM‑Series expuestos a redes no confiables, y ya se han observado intentos de explotación, por lo que se recomienda aplicar parches, restringir el acceso al portal a redes internas o deshabilitarlo para mitigar el riesgo.

Recursos afectados

  • PAN-OS 12.1 (versiones afectadas: < 12.1.4-h5, < 12.1.7)
  • PAN-OS 11.2 (versiones afectadas: < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12)
  • PAN-OS 11.1 (versiones afectadas: < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15)
  • PAN-OS 10.2 (versiones afectadas: < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6)

Análisis técnico

  • CVE-2026-0300: Vulnerabilidad de desbordamiento de búfer en el servicio User-ID™ Authentication Portal (también conocido como Captive Portal) del software PAN‑OS de Palo Alto Networks permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root en los firewalls de las series PA y VM mediante el envío de paquetes especialmente diseñados.
    • CWE-787
    • CVSS: 9.3 (crítica)
    • Vector CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H
    • Explotación: Detectada

Mitigación / Solución

El fabricante recomienda las siguientes acciones para mitigar la vulnerabilidad CVE-2026-0300:

  • Restringir el acceso al Portal de Autenticación User-ID™:
    • Limitar el acceso únicamente a zonas de confianza.
    • Seguir las instrucciones detalladas en:
      • El artículo de la Comunidad en Vivo.
      • La base de conocimientos oficial.
  • Deshabilitar el Portal de Autenticación User-ID™:
    • Aplicar esta medida si el servicio no es necesario.
  • Aplicar actualizaciones de seguridad:
    • Esperar e instalar las futuras versiones de PAN-OS que corrigen la vulnerabilidad.
    • Seguir el calendario de actualizaciones indicado por el fabricante.

Referencias adicionales

    Compartir