CVE-2026-0300 : RCE root sans authentification sur PAN-OS, exploitation active confirmée
Buffer overflow CVSS 9.3 dans le portail User-ID de PAN-OS : exécution de code root sans authentification sur les séries PA et VM. Exploitation active en cours ; patches attendus entre le 13 et 28 mai 2026.
CVE-2026-0300 est révélée début mai 2026 et frappe le service User-ID Authentication Portal (alias Captive Portal) de PAN-OS sur les séries PA et VM de Palo Alto Networks. Avec un score CVSS 4.0 de 9,3 et une exploitation active confirmée en environnement réel, c'est l'une des vulnérabilités les plus critiques sur des équipements réseau périmètraux du premier semestre 2026.
Détails techniques
L'exploit déclenche un débordement de tampon hors limites (out-of-bounds write, CWE-787) via des paquets réseau spécialement construits envoyés au service Captive Portal. Le résultat : exécution de code arbitraire avec les droits root sur le firewall ciblé.
Profil du vecteur d'attaque (CVSS 4.0) :
| Métrique | Valeur | Signification |
|---|---|---|
| AV:N | Réseau | Aucun accès physique requis |
| AC:L | Faible | Aucun prérequis technique élevé |
| PR:N | Aucun | Zéro privilège préalable |
| UI:N | Aucune | Aucune interaction utilisateur |
Systèmes affectés : PA-Series (appliances physiques) et VM-Series (virtuelles) avec le User-ID Authentication Portal activé.
Hors périmètre : Prisma Access, Cloud NGFW, Panorama.
Le scoring descend à 8,7 si l'accès au portail est restreint aux réseaux de confiance internes — mais cette atténuation ne vaut que si le filtrage est effectivement en place et vérifié.
Vérifier son exposition
# Sur un firewall PAN-OS : lister les interfaces avec captive portal actif
show user interface all | match "captive-portal"
# Résultat à surveiller : interfaces remontant avec captive-portal "enabled"
# et exposées sur une zone untrust ou internet → risque maximal (CVSS 9.3)
La commande ne nécessite pas de compte admin complet ; un compte avec droits en lecture sur la configuration suffit pour l'audit.
Exploitation active et impact
Palo Alto Networks et Wiz ont confirmé une exploitation limitée dans la nature, ciblant prioritairement les portails exposés à Internet. La pleine automatisation de l'exploit est plausible compte tenu du profil (AV:N/AC:L/PR:N/UI:N) : le vecteur est identique à ceux utilisés dans les campagnes d'exploitation de masse de firewalls (cf. CVE-2024-3400 en 2024).
Un firewall compromis avec des droits root représente une position idéale pour :
- Intercepter le trafic chiffré (MitM via remplacement de certificats)
- Pivoter vers les segments réseau internes sans traverser de règle de filtrage
- Persister durablement en modifiant les configurations hors bande
Timeline des correctifs
Palo Alto Networks déploie les patches de manière progressive entre le 13 et le 28 mai 2026 selon la branche PAN-OS. En attendant, les mesures de mitigation recommandées par l'éditeur sont :
- Désactiver le Captive Portal sur toutes les interfaces exposées à des réseaux non fiables ou à Internet.
- Segmenter l'accès réseau au service d'authentification via des ACL en amont.
- Monitorer les crashs du processus
authddans les logs système — indicateur possible d'une tentative d'exploitation.
Perspective
Ce pattern — RCE root sans authentification sur un firewall de périmètre — est particulièrement critique car l'équipement compromis est précisément celui censé protéger le reste du réseau. L'historique PAN-OS récent (CVE-2024-3400, CVE-2025-0108) montre un cycle régulier de vulnérabilités critiques sur les interfaces de portail et d'administration. Les organisations qui exposent le Captive Portal directement sur Internet devraient reconsidérer cette configuration de manière permanente, indépendamment de tout patch.
Advisory officiel Palo Alto Networks · Analyse Wiz · The Hacker News