**Palo Alto Networks** ha publicado una advertencia indicando que una vulnerabilidad crítica de desbordamiento de búfer en su software PAN-OS ha sido explotada en la naturaleza. ### CVE-2026-0300: Ejecución Remota de Código sin Autenticación La vulnerabilidad, identificada como **CVE-2026-0300**, se describe como un caso de ejecución remota de código sin autenticación. Tiene una puntuación CVSS de 9.3 si el Portal de Autenticación User-ID está configurado para permitir el acceso desde Internet o cualquier red no confiable. La severidad se reduce a 8.7 si el acceso al portal está restringido solo a direcciones IP internas confiables. "Una vulnerabilidad de desbordamiento de búfer en el servicio del Portal de Autenticación User-ID (también conocido como Portal Cautivo) del software PAN-OS de **Palo Alto Networks** permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root en los firewalls PA-Series y VM-Series enviando paquetes especialmente diseñados", indicó la compañía [aquí](https://security.paloaltonetworks.com/CVE-2026-0300). ### Versiones Afectadas Según **Palo Alto Networks**, la vulnerabilidad ha sido objeto de una "explotación limitada", apuntando específicamente a instancias donde el Portal de Autenticación User-ID ha permanecido públicamente accesible. Las siguientes versiones se ven afectadas por la falla: * PAN-OS 12.1 - < 12.1.4-h5, < 12.1.7 * PAN-OS 11.2 - < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12 * PAN-OS 11.1 - < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15 * PAN-OS 10.2 - < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6 ### Mitigación y Lanzamiento de Parches El problema, tal como está, no tiene parche, y **Palo Alto Networks** planea lanzar correcciones a partir del 13 de mayo de 2026. La compañía también señaló que la vulnerabilidad solo es aplicable a firewalls PA-Series y VM-Series que estén configurados para usar el Portal de Autenticación User-ID. "Los clientes que siguen las mejores prácticas de seguridad estándar, como restringir los portales sensibles a redes internas confiables, tienen un riesgo muy reducido", agregó. En ausencia de un parche, se recomienda a los usuarios [restringir el acceso al Portal de Autenticación User-ID](https://live.paloaltonetworks.com/t5/general-articles/why-it-s-essential-to-secure-your-management-interface/ta-p/1001286) solo a zonas confiables, o deshabilitarlo por completo si no es necesario. ### CISA Agrega CVE-2026-0300 al Catálogo KEV La **Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA)**, el 6 de mayo de 2026, [agregó](https://www.cisa.gov/news-events/alerts/2026/05/06/cisa-adds-one-known-exploited-vulnerability-catalog) **CVE-2026-0300** a su catálogo de Vulnerabilidades Explotadas Conocidas (**KEV**), requiriendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones o mitigaciones antes del 9 de mayo de 2026. "Esta vulnerabilidad es específica para un número limitado de clientes con su Portal de Autenticación User-ID (Portal Cautivo) expuesto a Internet público o a direcciones IP no confiables", dijo un portavoz de **Palo Alto Networks** a The Hacker News. "Hemos observado una explotación limitada de este problema y estamos trabajando para lanzar correcciones de software, con las primeras actualizaciones esperadas para el 13 de mayo de 2026". "Hemos proporcionado una guía de mitigación clara a nuestros clientes para asegurar sus entornos de inmediato. Este problema no afecta a los appliances Cloud NGFW ni a Panorama. Seguimos comprometidos con un enfoque transparente y centrado en la seguridad para proteger nuestra base de clientes global". _(La historia se actualizó después de su publicación para reflejar los últimos desarrollos.)_