CVE-2026-0300: vulnerabilidad zero-day

CVE-2026-0300 es una vulnerabilidad crítica en Palo Alto Networks PAN-OS, concretamente en el servicio User-ID Authentication Portal o Captive Portal. Permite ejecución remota de código con privilegios de root sin autenticación, y ha habido explotación limitada en entornos expuestos a redes no confiables o a Internet.

Qué afecta

Afecta principalmente a firewalls PA-Series y VM-Series con PAN-OS y el Authentication Portal habilitado. No impacta a Prisma Access, Cloud NGFW ni Panorama.

Naturaleza técnica

La falla se describe como un buffer overflow / out-of-bounds write, provocado por paquetes специально diseñados enviados al portal. El resultado puede ser ejecución arbitraria de código con privilegios elevados.

Riesgo práctico

El riesgo es alto porque no requiere credenciales ni interacción del usuario. La exposición aumenta mucho si el portal está accesible desde redes no confiables o desde Internet.

Mitigación

Las recomendaciones más importantes son:

• Restringir el acceso al Authentication Portal solo a redes internas o IPs de confianza.
• Deshabilitar el portal si no es necesario.
• Aplicar las versiones corregidas de PAN-OS para tu rama tan pronto como estén disponibles.

Prioridad

Si administras firewalls Palo Alto, esta debe tratarse como una incidencia urgente: revisar exposición externa, confirmar si el portal está habilitado y planear actualización inmediata.

Para CVE-2026-0300, los vectores de ataque conocidos son bastante claros: es un ataque remoto por red, sin autenticación ni interacción del usuario, contra el User-ID Authentication Portal / Captive Portal de PAN-OS, mediante paquetes especialmente diseñados que provocan un buffer overflow y pueden terminar en ejecución de código como root.

Vectores de ataque

• El atacante envía tráfico de red especialmente manipulado al portal de autenticación.
• No necesita credenciales, privilegios previos ni interacción del usuario.
• La explotación es más viable cuando el portal está expuesto a redes no confiables o a Internet.
• El impacto puede llegar a RCE con privilegios root en firewalls PA-Series y VM-Series afectados.

Mitigación inmediata

• Restringir el acceso al Authentication Portal solo a zonas de confianza o IPs internas confiables.
• Si no es necesario, deshabilitar por completo el User-ID Authentication Portal.
• Desactivar Response Pages en perfiles de gestión de interfaz asociados a interfaces L3 donde pueda entrar tráfico no confiable.
• Aplicar, en cuanto estén disponibles, las versiones corregidas de PAN-OS para tu rama.

Controles compensatorios

• Vigilar logs del firewall buscando fuentes externas, paquetes anómalos o sesiones raras dirigidas al portal.
• Priorizar la revisión de equipos expuestos públicamente o alcanzables desde segmentos no confiables.
• En versiones compatibles, usar la firma de Threat Prevention publicada por Palo Alto como medida temporal adicional.

Prioridad operativa

Si ese portal está accesible desde Internet, trátalo como una urgencia de exposición y contención, no solo como una tarea de parcheo. En la práctica, lo más efectivo primero es reducir superficie de ataque, y después actualizar a la versión corregida.