Стежити 
Пристрої безпеки на межі залишаються цілями з високою цінністю, особливо коли вразливість може бути використана до того, як патч стане широко доступним. Уразливість CVE-2026-0300 є критичною переповненням буфера в User-ID Authentication Portal, також відомому як Captive Portal, у Palo Alto Networks PAN-OS. Palo Alto оцінює її у 9,3/10, коли портал відкритий для інтернету або інших ненадійних мереж, і повідомляє, що неаутентифікований зловмисник може виконувати довільний код з правами root на постраждалих брандмауерах PA-Series і VM-Series, відправляючи спеціально створені пакети.
Для команд, що починають аналіз CVE-2026-0300, найважливішими деталями CVE-2026-0300 є умови відкритості: проблема застосовується лише тоді, коли User-ID Authentication Portal увімкнено, і Palo Alto зазначає, що ризик значно зменшується, коли доступ обмежений до надійних внутрішніх IP-адрес. Компанія також зазначає, що було виявлено обмежене використання проти порталів, відкритих для ненадійного IP-простору або загального інтернету.
На практиці CVE-2026-0300 впливає лише на брандмауери PA-Series і VM-Series, налаштовані на використання User-ID Authentication Portal. Prisma Access, Cloud NGFW і Panorama не зачіпає, що робить огляд налаштувань таким же важливим, як і огляд версії при визначенні відкритості.
Аналіз CVE-2026-0300
Уразливість у CVE-2026-0300 є переповненням буфера в службі User-ID Authentication Portal PAN-OS. За даними Palo Alto, експлуатація не вимагає облікових даних або взаємодії з користувачем, і мета зловмисника полягає у віддаленому виконанні коду як root через спеціально створені мережеві пакети. SecurityWeek також описує цей недолік як zero-day, який використовувався для злому деяких моделей брандмауерів, підкреслюючи, що це не теоретична проблема.
Описаний публічно корисний навантаження CVE-2026-0300 – це не файл зловмисного програмного забезпечення, що скидається на диск, а послідовність зловмисних пакетів, відправлених до компонента Captive Portal. Ні консультація постачальника, ні цитовані засоби масової інформації не містять публічного CVE-2026-0300 poc, але підтверджене використання в природі означає, що захисники повинні припускати, що здатні загрози вже достатньо розуміють умови спрацьовування, щоб озброїти їх.
З точки зору ризику, виявлення CVE-2026-0300 повинно зосереджуватися на зовнішньо доступних прикладах Authentication Portal і ознаках спроб доступу до цієї служби з ненадійних мереж. Консультація Palo Alto не публікує iocs CVE-2026-0300 на рівні пакетів, тому захисники будуть краще обслуговуватися, ідентифікуючи відкриті конфігурації порталу, звужуючи дозволені діапазони IP-джерел і пріоритизуючи брандмауери, що виходять на інтернет, для виправлення.
Пом’якшення CVE-2026-0300
Ефективне пом’якшення CVE-2026-0300 починається з зменшення відкритості до виходу виправлень. Palo Alto рекомендує або обмежити доступ до User-ID Authentication Portal для надійних зон/внутрішніх IP-адрес, або вимкнути портал, якщо він не потрібен. Ця порада особливо важлива, тому що на момент розкриття вразливість залишалася не виправленою, з першим випуском виправлень, очікуваним 13 травня 2026 року, і додатковими випусками 28 травня 2026 року в підзвітних версіях 12.1, 11.2, 11.1 і 10.2.
Щоб виявити відкритість CVE-2026-0300 у вашому середовищі, перевірте, чи увімкнено портал у налаштуваннях Device > User Identification > Authentication Portal і визначте, чи доступний він із інтернету або будь-якого ненадійного мережевого сегмента. Консультація Palo Alto ясно показує, що клієнти, які дотримуються цієї моделі зміцнення, знаходяться на значно зменшеному ризику в порівнянні з розгортаннями, які залишають службу публічно доступною.
Організації також повинні прив’язувати уражені брандмауери до цільових виправлених версій Palo Alto та підготувати план оновлення якомога швидше після виходу відповідного випуску. Оскільки обмежена експлуатація вже триває, це випадок, коли зміцнення конфігурації та екстрений контроль змін повинні відбуватися паралельно, а не чекати регулярних вікон обслуговування.
FAQ
Що таке CVE-2026-0300 і як він працює?
CVE-2026-0300 – це критичне переповнення буфера PAN-OS у User-ID Authentication Portal (Captive Portal). Palo Alto повідомляє, що неаутентифікований зловмисник може відправляти спеціально створені пакети до служби та домагатися виконання довільного коду з правами root на постраждалих брандмауерах PA-Series і VM-Series.
Коли вперше була виявлена CVE-2026-0300?
Консультація Palo Alto повідомляє, що проблема була виявлена в промисловій експлуатації та була опублікована 5 травня 2026 року. Публічне висвітлення в The Hacker News і SecurityWeek відбулося 6 травня 2026 року.
Який вплив CVE-2026-0300 на системи?
Вплив є серйозним: неаутентифіковане віддалене виконання коду як root на відкритих брандмауерах. Оскільки вразливість впливає на інфраструктуру безпеки на межі мережі, успішна експлуатація може дати зловмиснику привілейований контроль над вкрай чутливим пунктом виконання.
Чи може CVE-2026-0300 ще вплинути на мене у 2026 році?
Так. Будь-який уражений брандмауер PA-Series або VM-Series може ще залишатися під загрозою у 2026 році, якщо увімкнено User-ID Authentication Portal та відкрито для ненадійних IP-адрес або загального інтернету, особливо до встановлення відповідного виправленого випуску PAN-OS.
Як я можу себе захистити від CVE-2026-0300?
Обмежте доступ до User-ID Authentication Portal для надійних внутрішніх IP, вимкніть його, якщо він не потрібен, і перейдіть на виправлені збірки PAN-OS від Palo Alto, як тільки вони стануть доступними для вашого випуску. Постачальник чітко вказує, що ці кроки суттєво знижують ризик при активній експлуатації.
