Palo Alto Networks - CVE-2026-0300

Date de publication : 06/05/2026

Il s'agit d'une vulnérabilité dans le service User-ID Authentication Portal (également appelé Captive Portal) de PAN-OS, sur les pare-feux PA-Series et VM-Series.

PAN-OS est le système d'exploitation des pare-feux nouvelle génération de Palo Alto Networks. Il est déployé sur les appliances physiques PA-Series et les appliances virtuelles VM-Series, et assure les fonctions de filtrage réseau, d'inspection applicative, de prévention d'intrusion et de segmentation des flux.

Ce service, lorsqu'il est activé, expose une interface réseau destinée à l'authentification des utilisateurs avant accès au réseau. Un attaquant non authentifié envoie des paquets réseau spécialement forgés vers ce portail, déclenchant un débordement de tampon hors limites en écriture dans la mémoire du processus. Aucune interaction utilisateur ni aucune condition préalable n'est requise. La vulnérabilité est automatisable et pleinement exploitable depuis Internet si le portail est exposé à des plages d'adresses non fiables.

Elle permet l'exécution de code arbitraire à distance avec les privilèges root sur le pare-feu ciblé.

CVE-2026-0300

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-787 : Out-of-bounds Write

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   PAN-OS versions 10.2.7 jusqu'à 10.2.7-h34 (exclu), 10.2.10 jusqu'à 10.2.10-h36 (exclu), 10.2.13 jusqu'à 10.2.13-h21 (exclu), 10.2.16 jusqu'à 10.2.16-h7 (exclu), 10.2.18 jusqu'à 10.2.18-h6 (exclu)
•   PAN-OS versions 11.1.0 jusqu'à 11.1.4-h33 (exclu), 11.1.6 jusqu'à 11.1.6-h32 (exclu), 11.1.7 jusqu'à 11.1.7-h6 (exclu), 11.1.10 jusqu'à 11.1.10-h25 (exclu), 11.1.13 jusqu'à 11.1.13-h5 (exclu), 11.1.0 jusqu'à 11.1.15 (exclu)
•   PAN-OS versions 11.2.4 jusqu'à 11.2.4-h17 (exclu), 11.2.7 jusqu'à 11.2.7-h13 (exclu), 11.2.10 jusqu'à 11.2.10-h6 (exclu), 11.2.0 jusqu'à 11.2.12 (exclu)
•   PAN-OS versions 12.1.4 jusqu'à 12.1.4-h5 (exclu), 12.1.0 jusqu'à 12.1.7 (exclu)

Contournement provisoire

• Restreindre l'accès au portail User-ID Authentication Portal aux seules zones de confiance, conformément aux recommandations Palo Alto Networks (Device > User Identification > Authentication Portal Settings).
• Désactiver le portail User-ID Authentication Portal s'il n'est pas requis en production.

Solutions ou recommandations

•   PAN-OS 10.2 : versions 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6 et supérieures (ETA 13 et 28 mai 2026 selon la branche)
•   PAN-OS 11.1 : versions 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15 et supérieures (ETA 13 et 28 mai 2026 selon la branche)
•   PAN-OS 11.2 : versions 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12 et supérieures (ETA 13 et 28 mai 2026 selon la branche)
•   PAN-OS 12.1 : versions 12.1.4-h5, 12.1.7 et supérieures (ETA 13 et 28 mai 2026 selon la branche)