Im Zentrum steht eine kritische Zero-Day-Schwachstelle in PAN-OS, die Palo Alto Networks unter der Kennung CVE-2026-0300 führt. Es handelt sich um einen Pufferüberlauf im Dienst des User-ID Authentication Portals, das auch als Captive Portal bekannt ist. Über speziell gestaltete Pakete kann ein nicht authentifizierter Angreifer Schadcode mit Root-Rechten ausführen.
Betroffen sind ausschließlich Firewalls der PA- und der VM-Serie, die für die Nutzung des User-ID Authentication Portals konfiguriert sind. Nicht betroffen sind nach Angaben des Herstellers Prisma Access, Cloud NGFW sowie Panorama-Appliances.
In seiner Sicherheitsmeldung erklärt Palo Alto Networks, man habe eine begrenzte Ausnutzung beobachtet, die sich gegen User-ID Authentication Portals richtet, welche für nicht vertrauenswürdige IP-Adressen oder über das öffentliche Internet erreichbar sind. Wer den Zugang zum Portal auf vertrauenswürdige interne IP-Adressen beschränkt, verringere das Risiko einer Ausnutzung deutlich.
Weitere Informationen zu den Angriffen wurden nicht geteilt. Eine begrenzte Ausnutzung gilt jedoch typischerweise als Hinweis darauf, dass eine Lücke in stark zielgerichteten Angriffen durch versierte Akteure eingesetzt wird, oft staatlich unterstützte Gruppen.
Die ersten Patches sollen am 13. Mai erscheinen, eine zweite Runde mit Korrekturen ist für den 28. Mai geplant.
Palo-Alto-Firewalls sind aufgrund ihrer weiten Verbreitung bei großen Unternehmen und Behörden ein attraktives Ziel für versierte Angreifer. Während 2025 nur zwei Schwachstellen in den Geräten des Unternehmens aktiv ausgenutzt wurden, waren es 2024 mit sieben ausgenutzten Lücken deutlich mehr, darunter auch durch staatlich unterstützte Angreifer.
Der Known-Exploited-Vulnerabilities-Katalog (KEV) der US-Behörde CISA enthält derzeit 13 Schwachstellen in Palo-Alto-Produkten. CVE-2026-0300 wurde dort bislang noch nicht aufgenommen.