[TLP:CLEAR] Palo Alto PAN-OS opravuje aktivně zneužívanou zranitelnost
Palo Alto opravuje kritickou, aktivně zneužívanou zranitelnost v PAN-OS (PA-Series a VM-Series firewalls). Očekávaný termín vydání příslušných oprav je 13. a 28.5.2026, viz [1]. Jednotlivé opravené verze produktu: PAN-OS 12.1 - 12.1.4-h5, 12.1.7 PAN-OS 11.2 - 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12 PAN-OS 11.1 - 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15 PAN-OS 10.2 - 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6
Neautentizovanému vzdálenému útočníkovi je kvůli přetečení zásobníku umožněno spustit kód s právy root na firewallech PA-Series a VM-Series [1]. Riziko je možné dočasně mitigovat omezením přístupu do User-ID™ Authentication Portal pouze na důvěryhodné interní IP adresy, případně jej úplně zakázat, není-li potřeba. Návod pro zabezpečení naleznete v bodě 6 na [2] a na [3].
Zranitelnost se nachází v produktu PAN-OS ve verzích (>=10.2.7 AND <10.2.7-h34) OR (>=10.2.10 AND <10.2.10-h36) OR (>=10.2.13 AND <10.2.13-h21) OR (>=10.2.16 AND <10.2.16-h7) OR (>=10.2.18 AND <10.2.18-h6) OR (>=11.1.4 AND <11.1.4-h33) OR (>=11.1.6 AND <11.1.6-h32) OR (>=11.1.7 AND <11.1.7-h6) OR (>=11.1.10 AND <11.1.10-h25) OR (>=11.1.13 AND <11.1.13-h5) OR (>=11.2.4 AND <11.2.4-h17) OR (>=11.2.7 AND <11.2.7-h13) OR (>=11.2.10 AND <11.2.10-h6) OR (>=12.1.4 AND <12.1.4-h5).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:Red
Více informací:
- CVE-2026-0300 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 5. 2026.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 6. 5. 2026.
