Palo Alto PAN-OS Flaw Under Active Exploitation Enables Remote Code Execution

Palo Alto Networks has released an advisory warning that a critical buffer overflow vulnerability in its PAN-OS software has been exploited in the wild. The vulnerability, tracked as CVE-2026-0300, has been described as a case of unauthenticated remote code execution. It carries a CVSS score of 9.3.

Palo Alto Networks ha publicado un aviso advirtiendo que una vulnerabilidad crítica de desbordamiento de búfer en su software PAN-OS ha sido explotada activamente. La vulnerabilidad, identificada como CVE-2026-0300, se describe como un caso de ejecución remota de código no autenticada. Su puntuación CVSS es 9.3 si el Portal de Autenticación de User-ID está configurado para permitir acceso desde Internet o cualquier red no confiable. La gravedad se reduce a 8.7 si el acceso al portal está restringido solo a direcciones IP internas confiables.

Una vulnerabilidad de desbordamiento de búfer en el servicio del Portal de Autenticación de User-ID (también conocido como Portal Cautivo) del software PAN-OS de Palo Alto Networks permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root en los firewalls de las series PA y VM mediante el envío de paquetes especialmente diseñados, indicó la compañía.

Según Palo Alto Networks, la vulnerabilidad ha sido objeto de "explotación limitada", dirigida específicamente a instancias donde el Portal de Autenticación de User-ID se ha dejado accesible públicamente. Las siguientes versiones están afectadas por el fallo:

PAN-OS 12.1 - < 12.1.4-h5, < 12.1.7
PAN-OS 11.2 - < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12
PAN-OS 11.1 - < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15
PAN-OS 10.2 - < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6

Actualmente, el problema no tiene parche. Palo Alto Networks planea lanzar correcciones a partir del 13 de mayo de 2026. La compañía también indicó que la vulnerabilidad solo afecta a los firewalls de las series PA y VM configurados para usar el Portal de Autenticación de User-ID.

Los clientes que siguen las prácticas de seguridad estándar, como restringir los portales sensibles a redes internas confiables, tienen un riesgo muy reducido, añadió.

Mientras no haya parche, se recomienda a los usuarios restringir el acceso al Portal de Autenticación de User-ID solo a zonas confiables o deshabilitarlo por completo si no es necesario.

Actualización

El 6 de mayo de 2026, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2026-0300 a su catálogo de vulnerabilidades explotadas conocidas (KEV), exigiendo que las agencias del Poder Ejecutivo Civil Federal apliquen las correcciones o mitigaciones antes del 9 de mayo de 2026.

Esta vulnerabilidad es específica de un número limitado de clientes que tienen su Portal de Autenticación de User-ID expuesto a Internet pública o direcciones IP no confiables, declaró un portavoz de Palo Alto Networks a The Hacker News. Hemos observado una explotación limitada de este problema y estamos trabajando para lanzar correcciones de software; las primeras actualizaciones estarán disponibles el 13 de mayo de 2026. Hemos proporcionado una guía de mitigación clara a nuestros clientes para asegurar sus entornos de inmediato. Este problema no afecta a Cloud NGFW ni a los dispositivos Panorama. Seguimos comprometidos con un enfoque transparente y centrado en la seguridad para proteger a nuestra base global de clientes.