Die Schwachstelle entsteht durch einen Buffer Overflow im Dienst des User-ID Authentication Portals, das Palo Alto Networks auch als Captive Portal bezeichnet. Über speziell präparierte Pakete kann ein Angreifer ohne vorherige Authentifizierung beliebigen Code mit Root-Rechten auf den betroffenen Firewalls ausführen. Anfällig sind ausschließlich Geräte der PA-Series und der VM-Series, die für die Nutzung des User-ID Authentication Portals konfiguriert sind.
Die Bewertung des Risikos richtet sich nach der jeweiligen Konfiguration. Ist das Portal aus dem Internet oder einem anderen nicht vertrauenswürdigen Netz erreichbar, vergibt der Hersteller einen CVSS-Wert von 9,3. Bleibt der Zugriff auf vertrauenswürdige interne IP-Adressen beschränkt, fällt die Einstufung auf 8,7.
Nach Darstellung von Palo Alto Networks finden bislang Angriffe in begrenztem Umfang statt. Diese richten sich gezielt gegen Anlagen, bei denen das User-ID Authentication Portal öffentlich zugänglich belassen wurde. Kunden, die gängige Sicherheitsempfehlungen befolgen und sensible Portale auf vertrauenswürdige interne Netze beschränken, seien einem deutlich geringeren Risiko ausgesetzt, so das Unternehmen.
Ein Patch liegt zum gegenwärtigen Zeitpunkt nicht vor. Palo Alto Networks plant, ab dem 13. Mai 2026 Korrekturen bereitzustellen. Bis dahin empfiehlt der Hersteller, den Zugriff auf das User-ID Authentication Portal entweder auf vertrauenswürdige Zonen zu begrenzen oder den Dienst vollständig zu deaktivieren, sofern er nicht benötigt wird.