Penjelasan teknis
Kerentanan buffer overflow kritis dalam layanan User-ID Authentication Portal (Captive Portal) dari perangkat lunak Palo Alto Networks PAN-OS memungkinkan penyerang yang tidak terotentikasi untuk mengeksekusi kode arbitrer dengan hak istimewa root pada firewall PA-Series dan VM-Series melalui paket khusus. CISA mengonfirmasi eksploitasi aktif yang menargetkan portal yang terbuka untuk alamat IP yang tidak terpercaya dan internet publik, menambahkan kerentanan ke katalog Known Exploited Vulnerabilities dengan tenggat waktu perbaikan 9 Mei 2026 untuk lembaga federal.
Vektor serangan
Eksekusi kode jarak jauh yang tidak terotentikasi melalui paket khusus ke User-ID Authentication Portal. Tidak ada interaksi pengguna yang diperlukan. Skor CVSS 9,3 jika portal terbuka ke internet, 8,7 jika dibatasi pada jaringan terpercaya.
Sistem yang terdampak
Versi PAN-OS 10.2, 11.1, 11.2, dan 12.1 pada firewall PA-Series dan VM-Series yang dikonfigurasi dengan User-ID Authentication Portal diaktifkan. Lebih dari 5.800 firewall VM-series PAN-OS saat ini terbuka secara online menurut pemindaian Shadowserver.
Mitigasi
Palo Alto Networks merilis patch mulai 13 Mei 2026, dengan peluncuran penuh pada 28 Mei. Mitigasi segera: batasi akses User-ID Authentication Portal hanya ke zona terpercaya, atau nonaktifkan portal sepenuhnya jika tidak diperlukan secara operasional. Threat Prevention Signature untuk PAN-OS 11.1+ dirilis 5 Mei 2026.