CERT-Alert: 4/5 – Kritische, ungepatchte Sicherheitslücke im Captive Portal von Palo Alto Networks PAN-OS

Palo Alto Networks reported a critical unpatched vulnerability (CVE-2026-0300) in Palo Alto Networks PAN-OS' User-ID Authentication Portal (captive portal), allowing unauthenticated attackers to execute code with root privileges. Limited exploitation has been observed in the wild. 

The vulnerability affects PAN-OS 12.1, 11.2, 11.1, and 10.2 of the PA-Series and VM-Series firewalls with the User-ID Authentication Portal enabled, but does not impact Prisma Access, Cloud NGFW, or Panorama. 

Patches are scheduled for release on 13 May and 28 May 2026, depending on the PAN-OS version. Until then organizations must rely on mitigations.  

Organizations are strongly urged to restrict access to trusted internal IP addresses and disable the portal if not needed. It is also advised not to expose the captive portal to the internet or other untrusted networks. 

Palo Alto Networks meldete eine kritische, ungepatchte Sicherheitslücke (CVE-2026-0300) im User-ID-Authentifizierungsportal (Captive Portal) von Palo Alto Networks PAN-OS, die es nicht authentifizierten Angreifern ermöglicht, Code mit Root-Rechten auszuführen. In der Praxis wurden vereinzelte Exploits beobachtet.

Die Sicherheitslücke betrifft PAN-OS 12.1, 11.2, 11.1 und 10.2 der Firewalls aus der PA-Serie und VM-Serie, bei denen das User-ID-Authentifizierungsportal aktiviert ist, hat jedoch keine Auswirkungen auf Prisma Access, Cloud NGFW oder Panorama.

Patches sollen je nach PAN-OS-Version am 13. Mai und 28. Mai 2026 veröffentlicht werden. Bis dahin müssen sich Unternehmen auf Abhilfemaßnahmen verlassen.

Es wird empfohlen, den Zugriff auf vertrauenswürdige interne IP-Adressen zu beschränken und das Portal zu deaktivieren, wenn es nicht benötigt wird. Außerdem raten wir, das Captive Portal nicht dem Internet oder anderen nicht vertrauenswürdigen Netzwerken auszusetzen.