Uma vulnerabilidade crítica no PAN-OS, sistema usado em firewalls da Palo Alto Networks, está sendo explorada em ataques reais para executar código arbitrário com privilégios root. A falha afeta dispositivos PA-Series e VM-Series em configurações específicas expostas a redes não confiáveis.
Rastreada como CVE-2026-0300, a brecha está no User-ID Authentication Portal, também conhecido como Captive Portal. O problema decorre de um estouro de buffer no componente de autenticação e pode ser explorado remotamente sem credenciais.
O ataque exige o envio de pacotes especialmente criados ao portal vulnerável. Quando bem-sucedido, o invasor pode obter controle total sobre o firewall, um cenário de alto impacto porque esses equipamentos normalmente ficam na borda da rede corporativa.
A exploração é possível quando o User-ID Authentication Portal está habilitado, em modo transparente ou de redirecionamento, e quando um perfil de gerenciamento com “response pages” ativadas está associado a uma interface exposta à internet ou a zonas não confiáveis.
A vulnerabilidade recebeu pontuação CVSS 9.3, classificada como crítica. A Palo Alto Networks confirmou tentativas limitadas de exploração em ambiente real, principalmente contra portais de autenticação acessíveis publicamente.
As versões afetadas incluem ramos do PAN-OS 10.2, 11.1, 11.2 e 12.1 anteriores às compilações corrigidas. A fabricante disponibilizou correções para várias versões, incluindo PAN-OS 12.1.4-h5 ou 12.1.7+, 11.2.4-h17, 11.2.7-h13 ou 11.2.12+, 11.1.4-h33, 11.1.6-h32 ou 11.1.15+, e 10.2.7-h34 ou 10.2.18-h6+. Novas correções adicionais estão previstas até 28 de maio de 2026.
