Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2026 S2 Grupo
Alertas

Vulnerabilidades críticas en Palo Alto 2026

12 May 2026

Vulnerabilidad crítica - 08/05

Introducción

CVE-2026-0300 es una falla crítica de tipo buffer overflow (CWE-787: Out-of-bounds Write) que afecta al servicio User-ID Authentication Portal (“Captive Portal”) de Palo Alto Networks en dispositivos PA-Series y VM-Series con PAN-OS. El fallo permite a un atacante remoto no autenticado ejecutar código arbitrario con privilegios root mediante el envío de paquetes especialmente diseñados al portal cautivo expuesto a red. Esta vulnerabilidad está siendo activamente explotada.

Análisis

CVE-2026-0300 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8

CVE-2026-0300 es una vulnerabilidad crítica que afecta al componente de autenticación web de PAN-OS, concretamente al servicio conocido como User-ID Authentication Portal o Captive Portal. Este servicio se utiliza para autenticar usuarios mediante una interfaz web antes de permitirles acceder a determinados recursos de red. El problema aparece durante el procesamiento de solicitudes HTTP o HTTPS enviadas al portal.

La vulnerabilidad se origina por una validación incorrecta del tamaño de ciertos datos recibidos desde la red. Cuando el servicio procesa una petición especialmente manipulada, copia información a memoria sin comprobar adecuadamente sus límites. Esto provoca un desbordamiento de búfer, es decir, una escritura fuera de la región de memoria reservada por el programa. En términos prácticos, un atacante puede enviar una cadena de datos más grande de lo esperado y sobrescribir estructuras críticas de memoria utilizadas por el sistema.

En condiciones normales, el servicio debería almacenar únicamente la cantidad de información prevista dentro de un espacio de memoria delimitado. Sin embargo, al no existir una validación correcta, los datos adicionales enviados por el atacante pueden alterar punteros internos, direcciones de retorno o estructuras utilizadas por el proceso vulnerable. Una vez corrompida esa memoria, el atacante puede modificar el flujo de ejecución del programa y lograr que el dispositivo ejecute instrucciones arbitrarias.

El objetivo final de este tipo de explotación es obtener ejecución remota de código. Para conseguirlo, los atacantes suelen emplear técnicas avanzadas de manipulación de memoria, como cadenas ROP (Return-Oriented Programming), reutilización de código legítimo del sistema o corrupción del heap. Estas técnicas permiten evadir mecanismos modernos de protección como DEP, NX o ASLR. Cuando la explotación tiene éxito, el atacante puede ejecutar comandos con privilegios de root, que es el nivel más alto de privilegio en el sistema operativo del firewall.

La gravedad de la vulnerabilidad es especialmente alta porque afecta a dispositivos perimetrales de seguridad que normalmente están expuestos a Internet y procesan tráfico no confiable de manera constante. Un firewall comprometido no solo permite controlar el propio dispositivo, sino también inspeccionar, modificar o redirigir tráfico interno de la organización. Además, puede utilizarse como punto de acceso para movimientos laterales hacia otros sistemas de la red corporativa.

La explotación no requiere autenticación previa ni interacción del usuario. Basta con que el servicio vulnerable esté habilitado y accesible desde la red. Esto convierte a CVE-2026-0300 en una vulnerabilidad muy atractiva para grupos de ransomware, actores de espionaje y operadores especializados en comprometer infraestructura crítica.

Desde el punto de vista operativo, un atacante que consiga explotar esta vulnerabilidad podría alterar políticas de firewall, capturar credenciales, desactivar registros de auditoría, instalar mecanismos de persistencia o interceptar comunicaciones VPN. Debido a que el fallo afecta a un componente central de seguridad, el impacto potencial sobre la confidencialidad, integridad y disponibilidad de la infraestructura es extremadamente elevado.

CVE-2026-0300 afecta a múltiples versiones del sistema operativo PAN-OS utilizado en dispositivos PA-Series y VM-Series de Palo Alto Networks. La vulnerabilidad se encuentra presente en distintas ramas del producto, especialmente en las versiones 10.2, 11.1, 11.2 y 12.1, siempre que el servicio User-ID Authentication Portal o Captive Portal esté habilitado y expuesto a redes no confiables.

Versiones afectadas

En la rama PAN-OS 12.1, las versiones vulnerables incluyen aquellas anteriores a las revisiones 12.1.4-h5 y 12.1.7. En PAN-OS 11.2, el problema afecta a versiones anteriores a 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 y 11.2.12. Para PAN-OS 11.1, se consideran vulnerables las versiones previas a 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 y 11.1.15. En el caso de PAN-OS 10.2, están afectadas las versiones anteriores a 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 y 10.2.18-h6.

La vulnerabilidad no impacta a todos los productos del ecosistema de Palo Alto Networks. Según la información oficial publicada por el fabricante, Prisma Access, Cloud NGFW y Panorama no se consideran afectados por este fallo. El riesgo se concentra específicamente en dispositivos firewall que ejecutan PAN-OS y tienen habilitado el portal de autenticación vulnerable.

Recomendaciones

  • Actualizar PAN-OS inmediatamente a las versiones corregidas publicadas por Palo Alto Networks para cada rama afectada (10.2, 11.1, 11.2 y 12.1), priorizando los dispositivos expuestos a Internet.

  • Deshabilitar el User-ID Authentication Portal (Captive Portal) si no es estrictamente necesario para la operación del entorno, ya que es el vector de explotación principal.

  • Restringir el acceso al portal de autenticación mediante listas de control (ACLs), permitiendo únicamente redes internas confiables o direcciones IP específicas de administración.

  • Evitar la exposición directa del portal a Internet, especialmente en interfaces WAN o zonas no confiables del firewall.

  • Aplicar reglas de segmentación de red, limitando la superficie de ataque hacia los servicios de gestión y autenticación del firewall.

  • Monitorizar logs de PAN-OS en busca de actividad anómala, como peticiones HTTP/HTTPS inusuales, reinicios inesperados del servicio o errores relacionados con el Captive Portal.

  • Activar y revisar sistemas de prevención de amenazas (Threat Prevention) para detectar posibles intentos de explotación conocidos.

  • Verificar integridad del sistema, comprobando procesos en ejecución, cuentas administrativas y cambios recientes en la configuración del firewall.

  • Implementar detección de compromisos (IoCs) proporcionados por el fabricante o equipos de threat intelligence.

  • Planificar auditorías de seguridad internas, especialmente en dispositivos perimetrales que actúan como punto de entrada a la red corporativa.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

Artículos relacionados
Vulnerabilidades críticas en Linux 2026
Leer más →
Vulnerabilidades críticas en MISP 2026
Leer más →
Vulnerabilidades críticas en Adobe 2026
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día