Palo Alto Networks ha advertido de una vulnerabilidad crítica de día cero en PAN-OS que ya está siendo explotada de forma limitada contra firewalls expuestos a redes no confiables o directamente a Internet. El fallo, identificado como CVE-2026-0300, afecta al Portal de Autenticación de User-ID, también conocido como Captive Portal, una función utilizada para autenticar usuarios cuando el firewall no puede asociar automáticamente una identidad a una dirección IP.
La gravedad del caso está en la combinación de tres factores: no requiere autenticación, puede explotarse a través de la red y permite ejecutar código arbitrario con privilegios de root en firewalls PA-Series y VM-Series mediante paquetes especialmente diseñados. Palo Alto Networks le asigna una puntuación CVSS 4.0 de 9,3 y una urgencia “highest”, la máxima categoría en su aviso de seguridad.
Un fallo en una función sensible del firewall
El Portal de Autenticación de User-ID forma parte de los mecanismos de identificación de usuarios de PAN-OS. En muchas redes corporativas, el firewall no solo aplica reglas por IP o puerto, sino también por identidad de usuario, grupo, aplicación o contexto. Cuando el sistema no puede mapear automáticamente una IP con un usuario, esta función puede pedir autenticación para completar esa asociación.
Ese diseño es útil en entornos corporativos, pero se vuelve peligroso si el portal queda accesible desde Internet o desde zonas no confiables. Palo Alto Networks indica que el riesgo se reduce mucho cuando se siguen buenas prácticas y el acceso a este tipo de portales sensibles queda restringido a redes internas confiables. La compañía ha confirmado explotación limitada dirigida precisamente contra portales expuestos a direcciones IP no confiables o a la Internet pública.
La vulnerabilidad se describe como un desbordamiento de búfer, concretamente una escritura fuera de límites, catalogada como CWE-787. En la práctica, un atacante remoto no autenticado podría enviar paquetes manipulados para provocar la ejecución de código con privilegios de root. Esa es una de las situaciones más graves para un firewall perimetral: el dispositivo que debe proteger la red puede convertirse en el punto de entrada.
Según Palo Alto Networks, Prisma Access, Cloud NGFW y los appliances Panorama no están afectados por esta vulnerabilidad. El problema se limita a firewalls PA-Series y VM-Series con PAN-OS cuando están configurados para usar el Portal de Autenticación de User-ID bajo condiciones concretas de exposición.
Qué versiones están afectadas y cómo comprobar la exposición
Palo Alto Networks ha publicado una tabla de versiones afectadas y versiones previstas de corrección para PAN-OS 12.1, 11.2, 11.1 y 10.2. Las primeras actualizaciones están previstas para el 13/05/2026 en varias ramas, mientras que otras llegarían el 28/05/2026, según el calendario incluido en el aviso oficial. NHS England también recoge esas fechas y recomienda aplicar los parches en cuanto estén disponibles.
El fabricante explica que una organización está expuesta si se cumplen dos condiciones. La primera es que el Portal de Autenticación de User-ID esté habilitado en Device > User Identification > Authentication Portal Settings > Enable Authentication Portal. La segunda es que exista un perfil de gestión de interfaz con Response Pages habilitadas y asociado a una interfaz externa o accesible desde Internet.
Hasta que los parches estén disponibles, la mitigación prioritaria es restringir el acceso al Portal de Autenticación de User-ID solo a zonas confiables y desactivar Response Pages en los perfiles de gestión de interfaz asociados a zonas por las que pueda entrar tráfico no confiable. Si el portal no es necesario, Palo Alto Networks recomienda desactivarlo.
La compañía añade otra medida para clientes con suscripción Threat Prevention: habilitar el Threat ID 510019 desde la versión de contenido Applications and Threats 9097-10022. El soporte de este identificador requiere PAN-OS 11.1 o posterior por capacidades de decodificación. Esta medida puede ayudar a bloquear intentos de explotación, pero no sustituye la corrección definitiva cuando el parche esté disponible.
| Punto clave | Detalle |
|---|---|
| CVE | CVE-2026-0300 |
| Producto afectado | PAN-OS en PA-Series y VM-Series |
| Función vulnerable | User-ID Authentication Portal / Captive Portal |
| Tipo de fallo | Desbordamiento de búfer / escritura fuera de límites |
| Impacto | Ejecución remota de código con privilegios de root |
| Autenticación requerida | No |
| Explotación observada | Sí, limitada y contra portales expuestos |
| Mitigación inmediata | Restringir a zonas confiables o desactivar el portal |
| No afectados | Prisma Access, Cloud NGFW y Panorama |
Firewalls expuestos y una ventana de riesgo delicada
La existencia de explotación activa, aunque de momento sea limitada, cambia la prioridad de respuesta. No se trata de una vulnerabilidad teórica ni de un fallo que pueda dejarse para el siguiente ciclo ordinario de mantenimiento. CERT-EU ha recomendado aplicar mitigaciones mientras los parches no estén disponibles y actualizar los dispositivos afectados en cuanto se publiquen las versiones corregidas.
BleepingComputer cita datos de Shadowserver que apuntan a más de 5.800 firewalls PAN-OS VM-Series expuestos en Internet, la mayoría en Asia, con 2.466, y Norteamérica, con 1.998. Esa cifra no equivale automáticamente al número de sistemas vulnerables a CVE-2026-0300, porque depende de la configuración concreta del Portal de Autenticación y de Response Pages, pero sí ilustra el tamaño de la superficie de exposición potencial en dispositivos de este tipo.
Los firewalls son objetivos especialmente atractivos para atacantes porque se sitúan en el borde de la red y suelen tener visibilidad privilegiada. Un compromiso en este nivel puede permitir persistencia, movimiento lateral, interceptación de tráfico, manipulación de reglas o entrada a sistemas internos. Por eso las vulnerabilidades en dispositivos perimetrales suelen ser explotadas con rapidez, sobre todo cuando no requieren credenciales.
El historial reciente tampoco ayuda a rebajar la preocupación. Los firewalls PAN-OS han sido objetivo frecuente de campañas que aprovechan fallos de día cero o interfaces sensibles expuestas. BleepingComputer recuerda ataques anteriores contra dispositivos Palo Alto Networks, incluidos encadenamientos de vulnerabilidades y fallos explotados contra interfaces de gestión accesibles desde Internet.
La recomendación para administradores es clara: comprobar de inmediato si el Portal de Autenticación de User-ID está habilitado, revisar qué interfaces pueden recibir tráfico externo, desactivar el portal si no se usa y limitarlo estrictamente a redes internas si resulta necesario. También conviene revisar logs, buscar actividad anómala en el portal y preparar una ventana de actualización para aplicar el parche en cuanto esté disponible.
En entornos grandes, el mayor riesgo no siempre está en el firewall principal más vigilado, sino en appliances secundarios, laboratorios, entornos heredados, sedes pequeñas o despliegues virtuales que quedaron expuestos con configuraciones antiguas. Un inventario rápido de PA-Series y VM-Series, versiones PAN-OS y funciones activas puede marcar la diferencia entre una mitigación ordenada y una respuesta de emergencia.
La lección vuelve a repetirse: cualquier servicio de administración, autenticación o portal sensible en el perímetro debe tratarse como superficie crítica. Incluso cuando una función tiene sentido dentro de la red, exponerla a Internet puede convertir un fallo de software en una vía directa de compromiso. En este caso, hasta que los parches lleguen a todas las ramas afectadas, la mejor defensa es reducir exposición.
Preguntas frecuentes
¿Qué es CVE-2026-0300?
Es una vulnerabilidad crítica de desbordamiento de búfer en el Portal de Autenticación de User-ID de PAN-OS que permite ejecución remota de código con privilegios de root en determinados firewalls PA-Series y VM-Series.
¿Afecta a todos los firewalls de Palo Alto Networks?
No. Afecta a dispositivos PA-Series y VM-Series con PAN-OS cuando tienen configurado el Portal de Autenticación de User-ID y quedan expuestos a redes no confiables o Internet bajo las condiciones indicadas por el fabricante.
¿Hay parche disponible?
Palo Alto Networks ha indicado que el fallo se corregirá en próximas versiones de PAN-OS, con actualizaciones previstas en varias ramas para el 13/05/2026 y el 28/05/2026. Mientras tanto, deben aplicarse mitigaciones.
¿Qué deben hacer los administradores ahora?
Desactivar el Portal de Autenticación de User-ID si no es necesario, restringirlo solo a zonas confiables si se usa, revisar Response Pages en interfaces expuestas, activar la protección Threat ID 510019 si procede y preparar la actualización en cuanto esté disponible.
