🔍 Contexte

Le 6 mai 2026, Palo Alto Networks a publié un avis de sécurité concernant CVE-2026-0300, une vulnérabilité critique de type buffer overflow (CWE-787) affectant les appliances firewall PA-Series et VM-Series sous PAN-OS. L’information a été relayée et analysée par Rapid7 le même jour.

🎯 Vulnérabilité

  • Type : Buffer overflow non authentifié (CWE-787)
  • Score CVSSv4 : 9.3 (critique)
  • Composant affecté : User-ID™ Authentication Portal (aussi appelé Captive Portal), fonctionnalité non activée par défaut
  • Vecteur d’attaque : Un attaquant distant non authentifié peut envoyer des paquets spécialement forgés vers un dispositif exposant le portail d’authentification, aboutissant à une exécution de code arbitraire avec les privilèges root
  • Prérequis : Aucune authentification ni interaction utilisateur requise
  • Périmètre non affecté : Prisma Access, Cloud NGFW, Panorama

📦 Versions affectées

  • PAN-OS 12.1 : < 12.1.4-h5 / < 12.1.7
  • PAN-OS 11.2 : < 11.2.4-h17 / < 11.2.7-h13 / < 11.2.10-h6 / < 11.2.12
  • PAN-OS 11.1 : < 11.1.4-h33 / < 11.1.6-h32 / < 11.1.7-h6 / < 11.1.10-h25 / < 11.1.13-h5 / < 11.1.15
  • PAN-OS 10.2 : < 10.2.7-h34 / < 10.2.10-h36 / < 10.2.13-h21 / < 10.2.16-h7 / < 10.2.18-h6

⚠️ Exploitation active

Palo Alto Networks a confirmé une exploitation limitée dans la nature, ciblant des portails d’authentification exposés à des adresses IP non fiables ou à l’internet public. Shodan identifie environ 225 000 instances PAN-OS exposées sur internet, représentant une surface d’attaque significative.

🛡️ Mesures de contournement

Aucun patch n’est disponible au moment de la publication. Les correctifs sont attendus entre le 13 mai et le 28 mai 2026. En attendant, deux workarounds sont recommandés par le vendeur :

  • Restreindre l’accès au portail d’authentification User-ID aux zones internes de confiance uniquement
  • Désactiver entièrement le portail d’authentification User-ID s’il n’est pas nécessaire

📄 Type d’article

Il s’agit d’une alerte de sécurité / analyse technique publiée par Rapid7 dans le cadre de son programme Emergent Threat Response, visant à informer les équipes de sécurité de l’existence d’une vulnérabilité critique activement exploitée et à fournir des éléments de détection via ses produits (Exposure Command, InsightVM, Nexpose).

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)

IOC

🟡 Indice de vérification factuelle : 59/100 (moyenne)

  • ✅ rapid7.com — source reconnue (liste interne) (20pts)
  • ✅ 5247 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.rapid7.com/blog/post/etr-critical-buffer-overflow-in-palo-alto-networks-pan-os-user-id-authentication-portal-cve-2026-0300/