Penjelasan teknis
Kerentanan buffer overflow kritis di layanan User-ID Authentication Portal (Captive Portal) dari perangkat lunak Palo Alto Networks PAN-OS memungkinkan penyerang yang tidak terautentikasi untuk menjalankan kode arbitrer dengan hak istimewa root pada firewall PA-Series dan VM-Series melalui paket yang dirancang khusus. CISA mengonfirmasi eksploitasi aktif yang menargetkan portal yang terbuka untuk alamat IP yang tidak dipercaya dan internet publik, menambahkan kerentanan ke katalog Known Exploited Vulnerabilities dengan batas waktu perbaikan 9 Mei 2026 untuk agensi federal.
Vektor serangan
Eksekusi kode jarak jauh tanpa autentikasi melalui paket yang dirancang ke User-ID Authentication Portal. Tidak ada interaksi pengguna yang diperlukan. Skor CVSS 9,3 jika portal terbuka ke internet, 8,7 jika terbatas pada jaringan terpercaya.
Sistem yang terdampak
Versi PAN-OS 10.2, 11.1, 11.2, dan 12.1 pada firewall PA-Series dan VM-Series yang dikonfigurasi dengan User-ID Authentication Portal diaktifkan. Lebih dari 5.800 firewall VM-series PAN-OS saat ini terbuka secara online menurut pemindaian Shadowserver.
Mitigasi
Palo Alto Networks merilis patch mulai 13 Mei 2026, dengan peluncuran penuh pada 28 Mei. Mitigasi langsung: batasi akses User-ID Authentication Portal hanya ke zona terpercaya, atau nonaktifkan portal sepenuhnya jika tidak diperlukan secara operasional. Signature Threat Prevention untuk PAN-OS 11.1+ dirilis pada 5 Mei 2026.