Segui 
Gli appliance di sicurezza perimetrale rimangono obiettivi di alto valore, specialmente quando una vulnerabilità può essere sfruttata prima che una patch sia ampiamente disponibile. La vulnerabilità CVE-2026-0300 è un overflow del buffer critico nel Portale di Autenticazione User-ID, noto anche come Portale Captive, in Palo Alto Networks PAN-OS. Palo Alto lo valuta 9.3/10 quando il portale è esposto a Internet o ad altre reti non fidate e afferma che un attaccante non autenticato può eseguire codice arbitrario con privilegi di root su firewall PA-Series e VM-Series interessati inviando pacchetti appositamente formattati.
Per i team che iniziano l’analisi di CVE-2026-0300, i dettagli più importanti per CVE-2026-0300 sono le condizioni di esposizione: il problema si applica solo quando il Portale di Autenticazione User-ID è abilitato, e Palo Alto afferma che il rischio è notevolmente ridotto quando l’accesso è limitato agli indirizzi IP interni fidati. L’azienda dice anche che è già stata osservata un’esploitazione limitata contro i portali esposti a spazi IP non fidati o a Internet pubblico.
In pratica, CVE-2026-0300 colpisce solo i firewall PA-Series e VM-Series configurati per utilizzare il Portale di Autenticazione User-ID. Prisma Access, Cloud NGFW e Panorama non sono impattati, il che rende la revisione della configurazione altrettanto importante quanto la revisione delle versioni nel valutare l’esposizione.
Analisi di CVE-2026-0300
La vulnerabilità in CVE-2026-0300 è un overflow del buffer nel servizio del Portale di Autenticazione User-ID di PAN-OS. Secondo Palo Alto, lo sfruttamento non richiede credenziali o interazione dell’utente e l’obiettivo dell’attacante è l’esecuzione di codice remoto come root tramite pacchetti di rete appositamente formattati. SecurityWeek descrive ugualmente la falla come una zero-day usata per attaccare alcuni modelli di firewall, sottolineando che non si tratta di un problema teorico.
Il payload di CVE-2026-0300 descritto pubblicamente non è un file malware scaricato su disco ma una sequenza di pacchetti malevoli inviata al componente Portale Captive. Né l’avviso del fornitore né i rapporti mediatici citati includono una poc pubblica di CVE-2026-0300, ma l’esploitazione confermata sul campo significa che i difensori dovrebbero presumere che attori della minaccia capaci comprendano già bene le condizioni di attivazione per poterle sfruttare.
Da un punto di vista del rischio, la rilevazione di CVE-2026-0300 dovrebbe concentrarsi su istanze del Portale di Autenticazione raggiungibili dall’esterno e sui segnali di tentativo di accesso a tale servizio da reti non fidate. L’avviso di Palo Alto non pubblica ioc a livello di pacchetto CVE-2026-0300, pertanto i difensori sono meglio serviti identificando configurazioni di portali esposti, restringendo gli intervalli IP di origine consentiti e dando priorità ai firewall esposti a Internet per la rimedio.
Mitigazione di CVE-2026-0300
Una mitigazione efficace di CVE-2026-0300 inizia riducendo l’esposizione prima che le correzioni siano disponibili. Palo Alto raccomanda di limitare l’accesso al Portale di Autenticazione User-ID a zone fidate/indirizzi IP interni o disabilitare completamente il portale se non necessario. Questo consiglio è particolarmente importante perché, al momento della divulgazione, la falla era ancora non corretta, con la prima serie di correzioni prevista per il 13 maggio 2026 e rilasci aggiuntivi dal 28 maggio 2026 sulle versioni supportate 12.1, 11.2, 11.1 e 10.2.
Per rilevare l’esposizione a CVE-2026-0300 nel proprio ambiente, verificare se Dispositivo > Identificazione Utente > Impostazioni del Portale di Autenticazione ha il portale abilitato e determinare se è raggiungibile da Internet o da qualsiasi segmento di rete non fidato. L’avviso di Palo Alto chiarisce che i clienti che seguono questo modello di rafforzamento del sistema sono a rischio notevolmente ridotto rispetto alle implementazioni che lasciano il servizio pubblico accessibile.
Le organizzazioni dovrebbero anche mappare i firewall coinvolti alle versioni fisse di Palo Alto e preparare un piano di aggiornamento non appena la release corretta diventa disponibile. Poiché è già in corso una limitata sfruttamento, questo è un caso in cui il rafforzamento della configurazione e il controllo dei cambi d’emergenza dovrebbero avvenire in parallelo piuttosto che attendere le finestre di manutenzione ordinaria.
FAQ
Cosa è CVE-2026-0300 e come funziona?
CVE-2026-0300 è un overflow del buffer critico di PAN-OS nel Portale di Autenticazione User-ID (Portale Captive). Palo Alto afferma che un attaccante non autenticato può inviare pacchetti appositamente formattati al servizio e ottenere l’esecuzione di codice arbitrario con privilegi di root su firewall PA-Series e VM-Series interessati.
Quando è stato scoperto CVE-2026-0300?
L’avviso di Palo Alto indica che il problema è stato scoperto in uso in produzione ed è stato pubblicato il 5 maggio 2026. La copertura pubblica di The Hacker News e SecurityWeek è seguita il 6 maggio 2026.
Qual è l’impatto di CVE-2026-0300 sui sistemi?
L’impatto è grave: esecuzione di codice remoto non autenticata come root su firewall esposti. Poiché il difetto colpisce l’infrastruttura di sicurezza al confine della rete, uno sfruttamento riuscito potrebbe dare a un attaccante il controllo privilegiato su un punto di applicazione estremamente sensibile.
CVE-2026-0300 può ancora colpirmi nel 2026?
Sì. Qualsiasi firewall PA-Series o VM-Series colpito può ancora essere a rischio nel 2026 se ha il Portale di Autenticazione User-ID abilitato ed esposto a indirizzi IP non fidati o a Internet pubblico, specialmente fino a quando la release di PAN-OS corretta non sarà installata.
Come posso proteggermi da CVE-2026-0300?
Limita l’accesso al Portale di Autenticazione User-ID a IP interni fidati, disabilitalo se non è necessario e passa alle build PAN-OS corrette di Palo Alto non appena sono disponibili per la tua release. Il fornitore dichiara esplicitamente che questi step riducono materialmente il rischio mentre l’esploitazione attiva continua.
