Foi lançada na quarta-feira, 5 de maio de 2026, a notícia de que foi descoberta uma Vulnerabilidade de Buffer Overflow Iniciada por Usuário Não Autenticado no Portal de Autenticação de ID™ de Usuário (também conhecido como Captive Portal) do software PAN-OS da Palo Alto Networks.
Essa vulnerabilidade permite que um atacante não autenticado execute código arbitrário com privilégios root nos firewalls das séries PA e VM, enviando pacotes especialmente elaborados.
O risco aumenta caso a configuração do Portal de Autenticação de Usuário™ permita o acesso pela Internet ou por qualquer rede não confiável. Caso essa configuração esteja implementada, a vulnerabilidade passa a ter um CVSS Score de 9.3.
(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:Red).
Produtos afetados pela vulnerabilidade
Abaixo são listados os produtos afetados pela CVE:
- PAN-OS 12.1: < 12.1.4-h5 e < 12.1.7
- PAN-OS 11.2: < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6 e < 11.2.12
- PAN-OS 11.1: < 1.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15
- PAN-OS 10.2: < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6
As appliances Prisma Access, Cloud NGFW e Panorama não são afetadas por essa vulnerabilidade.
Impactos e resoluções
A exploração limitada tem sido observada direcionada a portais de autenticação de usuário™ da Palo Alto Networks expostos a endereços IP não confiáveis e/ou à internet pública. Os usuários que seguem as melhores práticas de segurança, como restringir portais sensíveis a redes internas confiáveis, correm menos riscos.
Essa vulnerabilidade será corrigida nas próximas versões do PAN-OS, iniciando a liberação das novas versões a partir do dia 13/05 e finalizando dia 28/05.
Sendo assim, é recomendado fortemente mitigar o risco desse problema enquanto as atualizações não são lançadas, e que sejam seguidas uma das soluções abaixo:
- Restringir o acesso ao Portal de Autenticação de IDs™ de Usuário apenas a zonas confiáveis;
- Desativar o Portal de Autenticação de Usuário com ID™ de usuário se não for necessário.
Ao seguir uma dessas medidas de mitigação, o risco da vulnerabilidade cai para 8.7.
(CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:Red).
Receba o Red Alert – nosso boletim de análise de ameaças
Através do Red Alert, trazemos notícias com as principais CVEs divulgadas no mercado, invasões que ocorreram durante a semana e as melhores práticas para detecção e prevenção. Cadastre-se aqui para receber gratuitamente.
