Seguir 
Os dispositivos de segurança de borda continuam sendo alvos de alto valor, especialmente quando uma falha pode ser explorada antes que um patch esteja amplamente disponível. A vulnerabilidade CVE-2026-0300 é um estouro de buffer crítico no Portal de Autenticação de User-ID, também conhecido como Captive Portal, no PAN-OS da Palo Alto Networks. A Palo Alto classifica como 9,3/10 quando o portal está exposto à internet ou a outras redes não confiáveis, e afirma que um atacante não autenticado pode executar código arbitrário com privilégios de root em firewalls das séries PA e VM afetados enviando pacotes especialmente elaborados.
Para equipes começando a análise da CVE-2026-0300, os detalhes mais importantes para a CVE-2026-0300 são as condições de exposição: o problema aplica-se apenas quando o Portal de Autenticação de User-ID está ativado, e a Palo Alto diz que o risco é muito reduzido quando o acesso é limitado a endereços IP internos confiáveis. A empresa também afirma que a exploração limitada já foi observada contra portais expostos a espaços IP não confiáveis ou à internet pública.
Na prática, a CVE-2026-0300 afeta apenas firewalls das séries PA e VM configurados para usar o Portal de Autenticação de User-ID. O Prisma Access, Cloud NGFW e Panorama não são impactados, o que torna a revisão da configuração tão importante quanto a revisão da versão ao avaliar a exposição.
Análise da CVE-2026-0300
A vulnerabilidade na CVE-2026-0300 é um estouro de buffer no serviço do Portal de Autenticação de User-ID do PAN-OS. Segundo a Palo Alto, a exploração não requer credenciais ou interação do usuário, e o objetivo do atacante é a execução remota de código como root por meio de pacotes de rede especialmente criados. A SecurityWeek descreve da mesma forma a falha como um zero-day usado para hackear alguns modelos de firewall, enfatizando que isso não é um problema teórico.
O payload da CVE-2026-0300 descrito publicamente não é um arquivo de malware descartado no disco, mas uma sequência de pacotes maliciosos enviados ao componente Captive Portal. Nem o aviso do fornecedor nem os relatórios da mídia citada incluem um poc público da CVE-2026-0300, mas a confirmação da exploração em campo significa que os defensores devem assumir que atores de ameaça capacitados já entendem as condições de gatilho bem o suficiente para as instrumentalizar.
Do ponto de vista do risco, a detecção da CVE-2026-0300 deve focar em instâncias do Portal de Autenticação acessíveis externamente e sinais de tentativas de acesso a esse serviço de redes não confiáveis. O aviso da Palo Alto não publica iocs de pacotes da CVE-2026-0300, então os defensores se beneficiam mais identificando configurações de portal expostas, restringindo os intervalos de IP de origem permitidos e priorizando a remediação de firewalls voltados para a internet.
Mitigação da CVE-2026-0300
A mitigação eficaz da CVE-2026-0300 começa com a redução da exposição antes que os reparos sejam implementados. A Palo Alto recomenda restringir o acesso ao Portal de Autenticação de User-ID a zonas confiáveis/endereços IP internos ou desabilitar completamente o portal se não for necessário. Esse conselho é especialmente importante porque, durante a divulgação, a falha ainda estava sem patch, com a primeira leva de correções esperada para 13 de maio de 2026 e lançamentos adicionais em 28 de maio de 2026 para as versões suportadas 12.1, 11.2, 11.1 e 10.2.
Para detectar a exposição da CVE-2026-0300 em seu ambiente, verifique se Dispositivo > Identificação de Usuário > Configurações do Portal de Autenticação tem o portal habilitado e determine se ele é acessível pela internet ou qualquer segmento de rede não confiável. O aviso da Palo Alto deixa claro que os clientes que seguem esse modelo de endurecimento estão em risco muito reduzido em comparação com implantações que deixam o serviço acessível publicamente.
As organizações também devem mapear os firewalls afetados para as versões corrigidas alvo da Palo Alto e preparar um plano de atualização assim que a versão relevante estiver disponível. Como a exploração limitada já está em andamento, este é um caso em que o endurecimento da configuração e o controle de mudanças de emergência devem ocorrer em paralelo, em vez de esperar pelas janelas de manutenção normais.
FAQ
O que é CVE-2026-0300 e como funciona?
A CVE-2026-0300 é um estouro de buffer crítico no PAN-OS no Portal de Autenticação de User-ID (Captive Portal). A Palo Alto diz que um atacante não autenticado pode enviar pacotes especialmente elaborados para o serviço e alcançar a execução arbitrária de código com privilégios de root em firewalls das séries PA e VM afetados.
Quando a CVE-2026-0300 foi descoberta pela primeira vez?
O aviso da Palo Alto diz que o problema foi descoberto em uso de produção e foi publicado em 5 de maio de 2026. A cobertura pública do The Hacker News e SecurityWeek seguiu em 6 de maio de 2026.
Qual é o impacto da CVE-2026-0300 nos sistemas?
O impacto é severo: execução remota de código como root em firewalls expostos. Como a falha afeta a infraestrutura de segurança na borda da rede, a exploração bem-sucedida pode dar a um atacante controle privilegiado sobre um ponto de imposição altamente sensível.
A CVE-2026-0300 ainda pode me afetar em 2026?
Sim. Qualquer firewall das séries PA ou VM afetado ainda pode estar em risco em 2026 se tiver o Portal de Autenticação de User-ID ativado e exposto a endereços IP não confiáveis ou à internet pública, especialmente até que a versão corrigida relevante do PAN-OS seja instalada.
Como posso me proteger da CVE-2026-0300?
Restrinja o acesso ao Portal de Autenticação de User-ID a IPs internos confiáveis, desative-o se for desnecessário, e mova para as versões corrigidas do PAN-OS da Palo Alto assim que estiverem disponíveis para sua linha de versão. O fornecedor afirma explicitamente que essas etapas reduzem materialmente o risco enquanto a exploração ativa continua.
