Une nouvelle alerte de sécurité du côté de Palo Alto Networks : une faille de sécurité zero-day (CVE-2026-0300) exploitable sans authentification et déjà exploitée par des cybercriminels affecte le portail d’authentification User-ID de PAN-OS. Voici comment vous protéger.

Une exécution de code à distance sans authentification

Le 6 mai 2026, Palo Alto Networks a publié un bulletin de sécurité concernant la CVE-2026-0300, une vulnérabilité de type “buffer overflow” associée à un score CVSS v4 de 9.3 sur 10. Cette nouvelle faille affecte les firewalls embarqués sur les appliances matérielles (PA-Series) et virtuelles (VM-Series) exécutant le système d’exploitation PAN-OS. Comme l’explique Palo Alto Networks dans son bulletin de sécurité, cette vulnérabilité se situe dans le portail d’authentification User-ID, également appelé portail captif.

La gravité de cette vulnérabilité s’explique par la façon dont elle s’exploite : un attaquant distant et non authentifié peut envoyer des paquets réseau spécifiquement conçus vers un équipement vulnérable disposant du portail activé. Cela lui permet d’exécuter du code arbitraire avec les privilèges “root”, sans nécessiter la moindre interaction de la part d’un utilisateur.

De son côté , Palo Alto Networks a confirmé l’exploitation de cette vulnérabilité par des cybercriminels, sans préciser la nature des attaques observées. “On a constaté une exploitation limitée visant les portails d’authentification User-ID™ de Palo Alto Networks exposés à des adresses IP non approuvées et/ou à l’Internet public.”, peut-on lire.

Pour donner un ordre d’idée de la surface d’attaque potentielle, un rapport publié par Rapid7 indique que le moteur de recherche Shodan recense environ 225 000 instances PAN-OS exposées sur le Web. D’après le service The ShadowServer, il y aurait environ 5 800 instances Palo Alto Networks accessibles sur Internet, ce qui n’est pas tout à fait la même chose. Mais, attention, cette fonctionnalité n’est pas nécessairement activée.

Comment se protéger de la CVE-2026-0300 ?

À l’heure actuelle, Palo Alto Networks ne propose aucun correctif officiel ! Ils sont en cours de préparation et les premières versions corrigées (pour les branches PAN-OS 10.2, 11.1, 11.2 et 12.1) débutera le 13 mai 2026 et s’étalera jusqu’au 28 mai 2026.

Voici la liste des versions affectées et les patchs attendus (avec la date).

Dans ce contexte, toutes les organisations utilisant ce portail d’authentification sont invitées à appliquer l’une des mesures d’atténuation suivantes, en attendant la disponibilité des patchs :

• Restreindre les accès : limitez l’accès au portail d’authentification User-ID uniquement à vos zones internes de confiance.
• Désactiver la fonctionnalité : si ce portail n’est pas indispensable, ou que vous pouvez vous en passer temporaire, désactivez-le.

Enfin, sachez que les solutions Prisma Access, Cloud NGFW et Panorama ne sont pas impactées par cette faille.