Palo Alto Networks a publié une alerte critique sur CVE-2026-0300, une faille de débordement de tampon dans PAN-OS notée 9,3 sur 10 au CVSS. Des attaquants l’exploitent déjà, ciblant des pare-feux PA-Series et VM-Series dont le portail d’authentification User-ID est exposé à Internet ou à des réseaux non sécurisés. Le fabricant lui attribue son niveau d’urgence maximal : « highest ».
Un débordement de tampon qui donne les droits root sans authentification
La vulnérabilité réside dans le portail d’authentification User-ID de PAN-OS, aussi appelé Captive Portal. Cette fonction identifie les utilisateurs quand le pare-feu ne peut pas associer automatiquement une adresse IP à une identité. Dans les réseaux d’entreprise, c’est un mécanisme courant pour appliquer des politiques par utilisateur ou par groupe, plutôt que par port ou adresse IP brute.
Le problème : un attaquant distant sans aucun compte valide peut envoyer des paquets spécialement conçus pour provoquer une écriture hors limites (CWE-787) dans ce composant. Résultat : exécution de code arbitraire avec des privilèges root sur le pare-feu ciblé. Pour un équipement de périmètre réseau, c’est le scénario le plus grave : le dispositif censé filtrer le trafic malveillant devient lui-même la porte d’entrée.
Trois conditions combinées font de cette faille un vecteur d’attaque direct : aucun compte n’est nécessaire pour l’exploiter, l’attaque s’effectue depuis le réseau sans accès physique, et elle aboutit à une exécution root complète. Prisma Access, Cloud NGFW et les appliances Panorama ne sont pas concernés. Seuls les pare-feux PA-Series et VM-Series avec PAN-OS sont exposés, sous des conditions précises de configuration.
Versions affectées et calendrier des correctifs
Les branches PAN-OS touchées sont 12.1, 11.2, 11.1 et 10.2. Palo Alto Networks prévoit une première vague de correctifs pour le 13 mai 2026, une seconde pour le 28 mai 2026. NHS England mentionne ces dates dans sa communication officielle et recommande d’appliquer les patchs dès leur disponibilité.
Une organisation est exposée si deux conditions sont simultanément réunies : le portail d’authentification User-ID doit être activé dans Device > User Identification > Authentication Portal Settings > Enable Authentication Portal, et un profil de gestion d’interface avec Response Pages doit être activé et associé à une interface externe ou accessible depuis Internet.
| Élément | Détail |
|---|---|
| CVE | CVE-2026-0300 |
| Score CVSS | 9,3 / 10, urgence « highest » |
| Type de faille | Débordement de tampon, écriture hors limites (CWE-787) |
| Produits affectés | PAN-OS sur PA-Series et VM-Series |
| Composant vulnérable | Portail d’authentification User-ID / Captive Portal |
| Authentification requise | Non |
| Impact maximal | Exécution distante de code avec privilèges root |
| Exploitation active | Oui, limitée, sur portails exposés |
| Correctifs prévus | 13/05/2026 (1re vague), 28/05/2026 (2e vague) |
| Produits non affectés | Prisma Access, Cloud NGFW, Panorama |
5 800 pare-feux VM-Series repérés en ligne : une surface mesurable
Shadowserver, cité par BleepingComputer, recense plus de 5 800 pare-feux PAN-OS VM-Series directement accessibles depuis Internet. La répartition géographique indique 2 466 en Asie et 1 998 en Amérique du Nord. Ce chiffre ne couvre pas nécessairement tous les systèmes vulnérables à CVE-2026-0300, car tout dépend de la configuration du portail User-ID et des Response Pages, mais il donne une mesure concrète de l’étendue de l’exposition potentielle.
Les pare-feux de périmètre attirent les attaquants parce qu’ils occupent une position clé : ils voient tout le trafic entrant et sortant, ont accès aux zones internes et peuvent servir à la persistance, aux mouvements latéraux ou à l’interception de communications. Une faille sans authentification sur ce type d’équipement est exploitée rapidement. BleepingComputer rappelle plusieurs campagnes antérieures ciblant des appliances Palo Alto Networks, dont des chaînes de vulnérabilités zero-day ou des interfaces de gestion exposées sur Internet.
CERT-EU recommande d’appliquer les mesures de mitigation sans attendre les correctifs, puis de patcher dès que les nouvelles versions seront disponibles. Dans les grands déploiements, le risque vient souvent des appliances secondaires, des environnements de test ou des installations héritées, où les configurations obsolètes passent inaperçues. Un inventaire à jour des versions PAN-OS actives et des fonctions exposées fait la différence entre une réponse organisée et une gestion de crise en urgence.
Ce que doivent faire les administrateurs dès maintenant
En attendant les correctifs, Palo Alto Networks recommande deux actions prioritaires : restreindre l’accès au portail d’authentification User-ID aux zones de confiance internes, et désactiver les Response Pages dans les profils d’interface associés à des zones pouvant recevoir du trafic non sécurisé. Si le portail n’est pas utilisé, le désactiver complètement est la solution la plus directe.
Pour les organisations avec un abonnement Threat Prevention, Palo Alto Networks recommande aussi d’activer le Threat ID 510019, disponible à partir de la version 9097-10022 du contenu Applications and Threats, avec PAN-OS 11.1 minimum requis en raison des capacités de décodage avancées. C’est une mesure complémentaire, pas un substitut au patch : elle bloque des tentatives d’exploitation connues mais ne corrige pas la faille sous-jacente.
La liste des actions concrètes : vérifier si le portail User-ID est actif, identifier les interfaces hébergeant du trafic externe, désactiver ou restreindre le portail, examiner les Response Pages de chaque profil d’interface exposé, analyser les logs pour détecter toute activité anormale. Des outils comme un SIEM ouvert tel que Lakewatch facilitent cette analyse de logs à grande échelle, surtout dans les environnements multi-sites.
CVE-2026-0300 illustre un principe que les équipes sécurité appliquent maintenant systématiquement : tout service d’authentification ou de portail exposé en périphérie réseau est une surface critique. La fonction User-ID est utile en interne, mais son exposition à des réseaux non sécurisés transforme un bug logiciel en chemin d’accès root. La maîtrise des mécanismes d’identité et d’authentification en entreprise prend ici tout son sens : sans contrôle précis de la configuration des portails d’accès, même les politiques de sécurité les plus strictes restent exposées.
Questions fréquentes sur CVE-2026-0300 et PAN-OS
Qu’est-ce que CVE-2026-0300 dans PAN-OS ?
CVE-2026-0300 est une faille de débordement de tampon (écriture hors limites, CWE-787) dans le portail d’authentification User-ID de PAN-OS. Elle permet à un attaquant distant sans compte valide d’exécuter du code avec des privilèges root sur les pare-feux PA-Series et VM-Series dont ce portail est exposé à des réseaux non sécurisés. Score CVSS : 9,3 sur 10.
Tous les pare-feux Palo Alto Networks sont-ils concernés ?
Non. Seuls les appareils PA-Series et VM-Series sous PAN-OS sont affectés, et uniquement quand le portail d’authentification User-ID est activé et exposé à des réseaux non fiables. Prisma Access, Cloud NGFW et les appliances Panorama ne sont pas concernés par CVE-2026-0300.
Des correctifs sont-ils disponibles aujourd’hui ?
Non. Palo Alto Networks annonce une première vague de patchs pour le 13 mai 2026, une seconde pour le 28 mai 2026, selon les branches PAN-OS concernées. Les mesures de mitigation décrites par le fabricant sont la seule protection disponible en attendant.
Comment savoir si mon organisation est exposée à CVE-2026-0300 ?
Deux conditions doivent être simultanément réunies : le portail User-ID activé dans les paramètres d’identification de l’appareil, et un profil d’interface avec Response Pages associé à une interface externe ou accessible depuis Internet. Si l’une des deux conditions est absente, le risque CVE-2026-0300 ne s’applique pas.
Le Threat ID 510019 suffit-il comme protection ?
Non. Le Threat ID 510019 bloque des tentatives d’exploitation connues mais ne corrige pas la faille. Il nécessite un abonnement Threat Prevention, la version 9097-10022 du contenu Applications and Threats, et PAN-OS 11.1 minimum. Le patch officiel reste indispensable dès sa disponibilité le 13 mai 2026.
