CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-0300

Buffer overflow RCE z uprawnieniami root w PAN-OS Captive Portal

CVSS 9.3v4.0pub. 2026-05-06upd. 2026-05-12

Podatność typu buffer overflow w usłudze User-ID Authentication Portal (Captive Portal) systemu PAN-OS umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu z uprawnieniami root. Podatność jest aktywnie wykorzystywana i stanowi bezpośrednie zagrożenie dla zapór ogniowych serii PA.

Pokaż oryginał (EN)

A buffer overflow vulnerability in the User-ID™ Authentication Portal (aka Captive Portal) service of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets. The risk of this issue is greatly reduced if you secure access to the User-ID™ Authentication Portal per the best practice guidelines https://knowledgebase.paloaltonetworks.com/KCSArticleDetail by restricting access to only trusted internal IP addresses. Prisma Access, Cloud NGFW and Panorama appliances are not impacted by this vulnerability.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane pakiety sieciowe do usługi User-ID Authentication Portal (Captive Portal) działającej w PAN-OS. Wskutek błędu CWE-787 (out-of-bounds write) dochodzi do przepełnienia bufora w pamięci procesu obsługującego portal. Pozwala to na przejęcie kontroli nad przepływem wykonania programu i uruchomienie dowolnego kodu z uprawnieniami root bez konieczności wcześniejszego uwierzytelnienia. Ryzyko jest znacząco obniżone, jeśli dostęp do Captive Portal jest ograniczony wyłącznie do zaufanych wewnętrznych adresów IP zgodnie z wytycznymi producenta.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami root, co umożliwia m.in. wykonanie dowolnych poleceń systemowych, instalację backdoorów, kradzież konfiguracji i danych uwierzytelniających oraz wykorzystanie urządzenia jako punktu wejścia do sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://security.paloaltonetworks.com/CVE-2026-0300). Do czasu wdrożenia patcha jako obejście należy natychmiast ograniczyć dostęp do usługi User-ID Authentication Portal (Captive Portal) wyłącznie do zaufanych wewnętrznych adresów IP zgodnie z wytycznymi producenta.

Kogo dotyczy

Zapory ogniowe Palo Alto Networks serii PA (PA-440, PA-1410, PA-5560, PA-5580, PA-7500) oraz VM-Series działające na oprogramowaniu PAN-OS z włączoną usługą User-ID Authentication Portal (Captive Portal). Urządzenia Prisma Access, Cloud NGFW oraz Panorama nie są podatne.

Uwagi

Podatność jest ujęta w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Wektor CVSS 4.0 zawiera parametr E:A (exploit aktywny). Dodatkowe informacje dostępne w biuletynie Siemens ProductCERT (SSA-967325) dotyczącym produktów opartych na PAN-OS.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:U/V:C/RE:M/U:Red
  • Palo Alto Networks Pa 1410

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 1420

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 3410

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 3420

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 3430

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 3440

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 410

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 410r

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 410r 5g

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 415

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 415 5g

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 440

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 445

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 450

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 450r

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 450r 5g

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 455

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 455 5g

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 455r 5g

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 460

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 501

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 505

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 510

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 520

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 540

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 5410

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 5420

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 5430

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 5440

    HW
    Paloaltonetworks
    wszystkie wersje
  • Palo Alto Networks Pa 5445

    HW
    Paloaltonetworks
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
Palo Alto Networks
Produkti
PAN-OS
Data dodania do KEVi
6 maja 2026
Termin remediation (USA)i
9 maja 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług cloud lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne. Do czasu wydania oficjalnej poprawki przez producenta, należy wdrożyć następujące obejście: - Ograniczy dostęp do portalu User-ID Authentication Portal tylko do zaufanych stref. - Wyłącz User-ID Authentication Portal, jeśli nie jest wymagany. 5/13/2026: Palo Alto wydał różne patche. Jeśli są istotne dla Twojego środowiska, zastosuj wyznaczony patch.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable. Until the vendor releases an official fix, the following workaround should be implemented: - Restrict User-ID Authentication Portal access to only trusted zones. - Disable User-ID Authentication Portal if not required. 5/13/2026: Palo Alto has released a variety of patches. If these are relevant to your environment, please apply the designated patch.

Opis CISAi

Palo Alto Networks PAN-OS zawiera lukę out-of-bounds write w usłudze User-ID Authentication Portal (tzw. Captive Portal), która umożliwia nieuautentykowanemu atakującemu wykonanie arbitralnego kodu z uprawnieniami root na firewall'ach serii PA-Series i VM-Series poprzez wysłanie specjalnie przygotowanych pakietów.

tłumaczenie AI
Pokaż oryginał (EN)

Palo Alto Networks PAN-OS contains an out-of-bounds write vulnerability in the User-ID Authentication Portal (aka Captive Portal) service that can allow an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 9 maja 2026
Tagi
RCEAuth BypassMemoryFirewall
CWE
Referencje

Powiązane podatności

CVE-2026-24858CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Fortinet – Auth Bypass przez FortiCloud SSO w wielu produktach

CVE-2025-59718CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Fortinet FortiOS/FortiProxy/FortiSwitchManager — Auth Bypass przez SAML

CVE-2024-0012CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Authentication bypass w PAN-OS umożliwiający przejęcie uprawnień administratora

CVE-2024-3400CRITICAL10.0⚠ KEVPL ✓ten sam produkt

RCE jako root w GlobalProtect — command injection w PAN-OS

CVE-2020-2021CRITICAL10.0⚠ KEVten sam produkt

When Security Assertion Markup Language (SAML) authentication is enabled and the 'Validate Identity Provider C...