**Palo Alto Networks** hat eine Warnung veröffentlicht, dass eine kritische Pufferüberlauf-Schwachstelle in seiner PAN-OS-Software bereits in freier Wildbahn ausgenutzt wird. ### CVE-2026-0300: Unauthentifizierte Remote Code Execution Die Schwachstelle, die als **CVE-2026-0300** verfolgt wird, wird als Fall von unauthentifizierter Remote Code Execution beschrieben. Sie hat einen CVSS-Score von 9,3, wenn das User-ID Authentifizierungsportal so konfiguriert ist, dass der Zugriff aus dem Internet oder aus einem nicht vertrauenswürdigen Netzwerk zugelassen wird. Die Schwere reduziert sich auf 8,7, wenn der Zugriff auf das Portal nur auf vertrauenswürdige interne IP-Adressen beschränkt ist. "Eine Pufferüberlauf-Schwachstelle im User-ID Authentifizierungsportal (auch bekannt als Captive Portal) Dienst der PAN-OS-Software von **Palo Alto Networks** ermöglicht es einem unauthentifizierten Angreifer, beliebigen Code mit Root-Privilegien auf den PA-Series und VM-Series Firewalls auszuführen, indem er speziell präparierte Pakete sendet", teilte das Unternehmen [mit](https://security.paloaltonetworks.com/CVE-2026-0300). ### Betroffene Versionen Laut **Palo Alto Networks** wurde die Schwachstelle "begrenzt ausgenutzt", insbesondere bei Instanzen, bei denen das User-ID Authentifizierungsportal öffentlich zugänglich gelassen wurde. Die folgenden Versionen sind von der Schwachstelle betroffen: * PAN-OS 12.1 - < 12.1.4-h5, < 12.1.7 * PAN-OS 11.2 - < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12 * PAN-OS 11.1 - < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15 * PAN-OS 10.2 - < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6 ### Abhilfemaßnahmen und Patch-Veröffentlichung Das Problem ist derzeit ungepatcht, und **Palo Alto Networks** plant, ab dem 13. Mai 2026 Korrekturen zu veröffentlichen. Das Unternehmen gab außerdem an, dass die Schwachstelle nur für PA-Series und VM-Series Firewalls gilt, die für die Nutzung des User-ID Authentifizierungsportals konfiguriert sind. "Kunden, die Standard-Sicherheitspraktiken befolgen, wie z. B. die Beschränkung sensibler Portale auf vertrauenswürdige interne Netzwerke, sind einem stark reduzierten Risiko ausgesetzt", fügte es hinzu. In Ermangelung eines Patches wird den Benutzern empfohlen, entweder [den Zugriff auf das User-ID Authentifizierungsportal einschränken](https://live.paloaltonetworks.com/t5/general-articles/why-it-s-essential-to-secure-your-management-interface/ta-p/1001286) auf vertrauenswürdige Zonen zu beschränken oder es vollständig zu deaktivieren, falls es nicht benötigt wird. ### CISA fügt CVE-2026-0300 zum KEV-Katalog hinzu Die U.S. **Cybersecurity and Infrastructure Security Agency (CISA)** hat am 6. Mai 2026 **CVE-2026-0300** zu ihrem Katalog der bekannten ausgenutzten Schwachstellen (**KEV**) hinzugefügt und fordert die Behörden des Federal Civilian Executive Branch (FCEB) auf, die Korrekturen oder Abhilfemaßnahmen bis zum 9. Mai 2026 anzuwenden. "Diese Schwachstelle betrifft eine begrenzte Anzahl von Kunden, deren User-ID Authentifizierungsportal (Captive Portal) dem öffentlichen Internet oder nicht vertrauenswürdigen IP-Adressen ausgesetzt ist", sagte ein Sprecher von **Palo Alto Networks** gegenüber The Hacker News. "Wir haben eine begrenzte Ausnutzung dieses Problems beobachtet und arbeiten an der Veröffentlichung von Software-Korrekturen, wobei die ersten Updates voraussichtlich am 13. Mai 2026 verfügbar sein werden." "Wir haben unseren Kunden klare Abhilfemaßnahmen zur sofortigen Sicherung ihrer Umgebungen zur Verfügung gestellt. Dieses Problem betrifft weder Cloud NGFW noch Panorama Appliances. Wir bleiben unserem transparenten, sicherheitsorientierten Ansatz verpflichtet, um unseren globalen Kundenstamm zu schützen." _(Die Geschichte wurde nach der Veröffentlichung aktualisiert, um die neuesten Entwicklungen widerzuspiegeln.)_