2. Vulnerabilidad Critica (CVE-2026-0300) - Desbordamiento de Búfer en PAN-OS de Palo Alto Networks

Vulnerabilidad Critica (CVE-2026-0300) - Desbordamiento de Búfer en PAN-OS de Palo Alto Networks

Fecha de publicación: Jue, 21/05/2026 - 15:15

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad CVE-2026-0300 es un desbordamiento de búfer, en el servicio de Portal de Autenticación del sistema operativo PAN-OS. El fallo ocurre porque el sistema no valida el tamaño de los datos entrantes en las solicitudes de inicio de sesión de red. Un atacante externo puede enviar paquetes de datos especialmente manipulados para saturar la memoria del equipo, corromper el flujo de ejecución del sistema y obligar al cortafuegos a ejecutar comandos dañinos con máximos privilegios administrativos. El ataque se puede realizar a través de internet de forma directa, sin requerir usuario, contraseña ni interacción de la víctima. Afecta tanto a cortafuegos físicos (PA-Series) como virtuales (VM-Series).

Recursos afectados

Dispositivos PA-Series y VM-Series que tengan activo el Portal Cautivo en las siguientes versiones de PAN-OS :

  • PAN-OS 12.1: Versiones anteriores a 12.1.4-h5 y anteriores a 12.1.7.
  • PAN-OS 11.2: Versiones anteriores a 11.2.4-h17, anteriores a 11.2.7-h13, anteriores a 11.2.10-h6 y anteriores a 11.2.12.
  • PAN-OS 11.1: Versiones anteriores a 11.1.4-h33, anteriores a 11.1.6-h32, anteriores a 11.1.7-h6, anteriores a 11.1.10-h25, anteriores a 11.1.13-h5 y anteriores a 11.1.15.
  • PAN-OS 10.2: Versiones anteriores a 10.2.7-h34, anteriores a 10.2.10-h36, anteriores a 10.2.13-h21, anteriores a 10.2.16-h7 y anteriores a 10.2.18-h6.
  • Las plataformas Prisma Access, Cloud NGFW y Panorama NO se ven afectadas por este fallo.

Solución/Mitigación

Se recomienda actualizar los firewalls afectados a las siguientes versiones de mantenimiento estables distribuidas por el fabricante.

Si no puede aplicar la actualización inmediatamente, se recomienda, configure las siguientes medidas de control preventivo:

  • Si la organización no utiliza activamente el portal, deshabilite por completo la política y el servicio en la configuración de las zonas de red afectadas.
  • Restrinja el acceso al puerto del portal únicamente a segmentos de red internos, IPs corporativas de confianza o mediante el uso de listas blancas (Allow-lists), bloqueando el acceso directo desde cualquier IP origen de Internet.

Indicadores de compromiso

  • Tráfico web entrante hacia el portal que contenga parámetros de entrada o cadenas de texto inusualmente largas o malformadas destinadas a saturar la entrada de datos.
  • Caídas repetidas o reinicios inesperados en el servicio del servidor web nginx del cortafuegos o en los demonios relacionados con User-ID.
  • Desaparición de registros críticos del sistema, específicamente eliminación de mensajes de error de caída del kernel, registros de caídas de servicios o archivos de volcado de memoria.
  • Ejecución en la memoria del cortafuegos de procesos o binarios desconocidos que intentan abrir conexiones salientes persistentes.
  • Conexiones salientes originadas desde la IP del propio cortafuegos hacia destinos externos en internet a través de puertos no estándar, lo que suele indicar el uso de herramientas de tunelización de red o proxies inversos.

Recomendaciones

  • Ejecute un escaneo externo inmediato para verificar si las páginas de redirección del Portal son accesibles desde internet pública.
  • Asegúrese de que todos los logs de tráfico y del sistema estén siendo enviados a un SIEM para evitar la manipulación local de registros por parte de un atacante.
  • En caso de confirmar un IoC positivo, aísle el nodo afectado, revoque y rote de forma masiva todas las llaves API, credenciales de VPN, contraseñas de cuentas de servicio y secretos almacenados en el equipo. Posteriormente, realice un formateo y restauración utilizando un respaldo limpio verificado.

Referencias