Palo Alto Networks warns of firewall RCE zero-day exploited in attacks

Vulnérabilité critique de type Zero-Day sur les pare-feu Palo Alto Networks

Palo Alto Networks a émis une alerte concernant une vulnérabilité critique activement exploitée sur les pare-feu de séries PA et VM équipés de PAN-OS. Cette faille permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges “root”.

Points clés :

• Cible : Le portail d’authentification User-ID (Captive Portal) lorsqu’il est exposé à Internet ou à des réseaux non approuvés.
• État de l’exploitation : Des attaques limitées ont été observées. Plus de 5 800 instances vulnérables sont actuellement identifiées comme exposées sur Internet.
• Disponibilité des correctifs : Palo Alto Networks travaille sur des correctifs dont la publication est prévue à partir du 13 mai 2026.
• Portée : La faille ne concerne pas les appliances Cloud NGFW ou Panorama.

Vulnérabilité :

• CVE-2026-0300 : Faille de dépassement de tampon (buffer overflow) dans le portail d’authentification User-ID.

Recommandations :

• Restreindre l’accès : Limiter immédiatement l’accès au portail d’authentification uniquement aux réseaux internes de confiance (zones approuvées).
• Désactivation : Désactiver le portail d’authentification si son utilisation n’est pas strictement nécessaire ou si une restriction d’accès réseau n’est pas possible.
• Vérification : Contrôler la configuration actuelle via le menu : Device > User Identification > Authentication Portal Settings > Enable Authentication Portal.

Source