**Palo Alto Networks** divulgou um aviso alertando que uma vulnerabilidade crítica de buffer overflow em seu software PAN-OS tem sido explorada ativamente. ### CVE-2026-0300: Execução Remota de Código sem Autenticação A vulnerabilidade, rastreada como **CVE-2026-0300**, é descrita como um caso de execução remota de código sem autenticação. Ela possui uma pontuação CVSS de 9.3 se o Portal de Autenticação User-ID estiver configurado para permitir acesso da internet ou de qualquer rede não confiável. A gravidade diminui para 8.7 se o acesso ao portal for restrito apenas a endereços IP internos confiáveis. "Uma vulnerabilidade de buffer overflow no serviço User-ID Authentication Portal (também conhecido como Captive Portal) do software PAN-OS da **Palo Alto Networks** permite que um atacante não autenticado execute código arbitrário com privilégios de root nos firewalls PA-Series e VM-Series, enviando pacotes especialmente elaborados", disse a empresa [aqui](https://security.paloaltonetworks.com/CVE-2026-0300). ### Versões Afetadas De acordo com a **Palo Alto Networks**, a vulnerabilidade tem sido alvo de "exploração limitada", visando especificamente instâncias onde o Portal de Autenticação User-ID foi deixado publicamente acessível. As seguintes versões são afetadas pela falha: * PAN-OS 12.1 - < 12.1.4-h5, < 12.1.7 * PAN-OS 11.2 - < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12 * PAN-OS 11.1 - < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15 * PAN-OS 10.2 - < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6 ### Mitigação e Lançamento de Patches O problema, no momento, não possui patch, com a **Palo Alto Networks** planejando lançar correções a partir de 13 de maio de 2026. A empresa também informou que a vulnerabilidade é aplicável apenas a firewalls PA-Series e VM-Series configurados para usar o Portal de Autenticação User-ID. "Clientes que seguem as melhores práticas de segurança padrão, como restringir portais sensíveis a redes internas confiáveis, correm um risco significativamente reduzido", acrescentou. Na ausência de um patch, os usuários são aconselhados a [restringir o acesso ao Portal de Autenticação User-ID](https://live.paloaltonetworks.com/t5/general-articles/why-it-s-essential-to-secure-your-management-interface/ta-p/1001286) apenas a zonas confiáveis, ou desativá-lo completamente, se não for necessário. ### CISA Adiciona CVE-2026-0300 ao Catálogo KEV A **Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA)**, em 6 de maio de 2026, [adicionou](https://www.cisa.gov/news-events/alerts/2026/05/06/cisa-adds-one-known-exploited-vulnerability-catalog) **CVE-2026-0300** ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (**KEV**), exigindo que as agências do Federal Civilian Executive Branch (FCEB) apliquem as correções ou mitigações até 9 de maio de 2026. "Esta vulnerabilidade é específica para um número limitado de clientes com seu Portal de Autenticação User-ID (Captive Portal) exposto à internet pública ou a endereços IP não confiáveis", disse um porta-voz da **Palo Alto Networks** ao The Hacker News. "Observamos exploração limitada deste problema e estamos trabalhando para lançar correções de software, com as primeiras atualizações previstas para 13 de maio de 2026." "Fornecemos orientações claras de mitigação aos nossos clientes para proteger seus ambientes imediatamente. Este problema não afeta appliances Cloud NGFW ou Panorama. Permanecemos comprometidos com uma abordagem transparente e focada em segurança para proteger nossa base global de clientes." _(A história foi atualizada após a publicação para refletir os últimos desenvolvimentos.)_