La vulnerabilidad afecta a los firewalls PA-Series y VM-Series que ejecutan PAN-OS con el servicio User-ID Authentication Portal (Captive Portal)<\/strong> habilitado y expuesto a redes no confiables o a Internet.<\/p>\n\n\n\n Versiones afectadas reportadas:<\/p>\n\n\n\n Se reporto una vulnerabilidad cr\u00edtica identificada como CVE-2026-0300, la cual afecta al componente User-ID Authentication Portal (Captive Portal) de PAN-OS, sistema operativo utilizado en sus firewalls empresariales PA-Series y VM-Series. La falla posee un puntaje CVSS v4 de 9.3, siendo clasificada como cr\u00edtica, y ya se encuentra siendo explotada activamente en ataques reales limitados.<\/p>\n\n\n\n La vulnerabilidad corresponde a un buffer overflow \/ out-of-bounds write (CWE-787) que puede ser explotado remotamente por un atacante no autenticado mediante el env\u00edo de paquetes especialmente dise\u00f1ados hacia el portal de autenticaci\u00f3n. La explotaci\u00f3n exitosa permite ejecutar c\u00f3digo arbitrario con privilegios root, otorgando control total sobre el firewall comprometido.<\/p>\n\n\n\n De acuerdo con los an\u00e1lisis publicados por diversos investigadores y organismos de ciberseguridad, el riesgo es considerablemente mayor cuando el servicio Captive Portal est\u00e1 expuesto directamente a Internet o accesible desde redes no confiables. Debido a que la explotaci\u00f3n no requiere autenticaci\u00f3n ni interacci\u00f3n del usuario, el vector de ataque resulta especialmente atractivo para actores maliciosos y grupos de ransomware.<\/p>\n\n\n\n Adicionalmente, la vulnerabilidad ya fue catalogada con estado \u201cATTACKED\u201d por el fabricante, indicando evidencia de explotaci\u00f3n activa en entornos reales. Organizaciones con firewalls expuestos podr\u00edan ser vulnerables a compromisos completos del per\u00edmetro de red, movimiento lateral y despliegue de malware o ransomware.<\/p>\n\n\n\n Palo Alto Networks public\u00f3 actualizaciones de seguridad para corregir la vulnerabilidad y recomienda aplicar los parches inmediatamente en todos los dispositivos afectados.<\/p>\n\n\n\n Las principales recomendaciones incluyen:<\/p>\n\n\n\n El advisory oficial y los parches pueden consultarse en:<\/p>\n\n\n\n Compartimos a continuaci\u00f3n una gu\u00eda oficial para el actualizar los sistemas PAN-OS<\/p>\n\n\n\n Se ha hecho p\u00fablica una vulnerabilidad cr\u00edtica identificada como\u00a0CVE\u20112026\u20110300<\/strong>\u00a0en el\u00a0User\u2011ID Authentication Portal (Captive Portal) de PAN\u2011OS<\/strong>, que permite ejecuci\u00f3n remota de c\u00f3digo como\u00a0root<\/strong>\u00a0en firewalls PA\u2011Series y VM\u2011Series sin credenciales ni interacci\u00f3n del usuario, mediante paquetes especialmente construidos. Palo Alto Networks y varios CERT han confirmado que esta vulnerabilidad se encuentra\u00a0bajo explotaci\u00f3n activa en el mundo real<\/strong>, con campa\u00f1as atribuidas a un cluster probablemente patrocinado por estados (CL\u2011STA\u20111132), incluyendo intentos y compromisos exitosos desde el 9 de abril de 2026, limpieza de logs, inyecci\u00f3n de shellcode en procesos\u00a0\n
\n
\n
\n
\n
Descripci\u00f3n<\/h2>\n\n\n\n
Soluci\u00f3n:<\/h2>\n\n\n\n
\n
\n
\n
nginx<\/code>\u00a0y movimientos laterales posteriores.<\/p>\n\n\n\nInformaci\u00f3n adicional:<\/h2>\n\n\n\n
\n