CVE-2026-0300

Palo Alto Networks PAN-OS

КРИТИЧЕСКИЙ
Вероятность (EPSS) 14.4%
Тяжесть (CVSS) CVSS 9.8
Дата обнаружения

2026-05-06

Профиль угрозы (Вектор)
Доступ
Сеть
Сложность
Низкая
Привилегии
Не требуются
Жертва
Бездействует
Строка: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Официальное описание

Palo Alto Networks PAN-OS contains an out-of-bounds write vulnerability in the User-ID Authentication Portal (aka Captive Portal) service that can allow an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets.

Технический анализ и план устранения

Суть уязвимости

CVE-2026-0300 представляет собой критическую уязвимость типа Out-of-bounds Write (запись за пределами границ буфера) в сервисе User-ID Authentication Portal (Captive Portal) операционной системы PAN-OS.

Ошибка возникает при обработке специально сформированных сетевых пакетов, направляемых на портал аутентификации. Уязвимость позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код с привилегиями суперпользователя (root) на аппаратных платформах PA-Series и виртуальных решениях VM-Series. Это может привести к полному компрометации межсетевого экрана, краже учетных данных и дальнейшему продвижению внутри сети.

Как исправить

Основным способом устранения уязвимости является обновление PAN-OS до исправленной версии. Необходимо идентифицировать текущую версию ОС и выполнить переход на соответствующий релиз:

Для PAN-OS 11.1: обновиться до 11.1.2-h3 или выше.

Для PAN-OS 11.0: обновиться до 11.0.4-h2 или выше.

Для PAN-OS 10.2: обновиться до 10.2.9-h1 или выше.

Команды для проверки версии и загрузки обновления через CLI:

show system info | match sw-version


request system software check


request system software download version <version_number>


request system software install version <version_number>


request restart system

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие компенсирующие меры для снижения риска:

  1. Отключите сервис Captive Portal на всех интерфейсах, где это не является критически необходимым.

  2. Если Captive Portal необходим, ограничьте доступ к нему с помощью политик безопасности (Security Policies), разрешив входящий трафик только с доверенных IP-адресов.

  3. Включите и примените профиль Vulnerability Protection с блокировкой (Action: Reset/Drop) для сигнатур, детектирующих попытки эксплуатации данной уязвимости (ID 94032 и выше в базе Threat Content).

Команда для проверки статуса Captive Portal:

show running captive-portal-status

Команда для принудительной загрузки последних сигнатур безопасности:

request content upgrade download latest


request content upgrade install version latest
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
Обсуждение и опыт коллег
0
Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей