Die Sicherheitslücke CVE-2026-0300 stellt eine ernsthafte Bedrohung dar, insbesondere für Organisationen, die ihre Palo Alto Firewalls mit dem Captive Portal dem öffentlichen Internet oder unvertrauten IP-Adressen aussetzen. Palo Alto Networks hat angekündigt, dass erste Patches am 13. Mai bereitgestellt werden sollen, eine zweite Patch-Welle ist für den 28. Mai geplant.
Die Schwachstelle ist ein klassischer Puffer-Overflow im User-ID Authentication Portal – ein Zugang, den viele Unternehmen nutzen, um Nutzer-Authentifizierung und Zugriffskontrolle zu realisieren. Der Hersteller betont, dass Prisma Access, Cloud NGFW und Panorama-Appliances nicht betroffen sind. Dennoch ist die Bedrohung real: Palo Alto Firewalls sind in deutschen Großunternehmen, Behörden und Finanzinstitutionen weit verbreitet.
Besonders bemerkenswert ist der Hinweis auf “begrenzte Ausnutzung”. Das deutet darauf hin, dass hochentwickelte Akteure – möglicherweise mit staatlichem Hintergrund – diese Lücke bereits systematisch nutzen. Laut Palo Alto Networks wurden 2024 sieben PAN-OS-Schwachstellen in der Praxis ausgenutzt, 2025 bisher zwei. CVE-2026-0300 ist noch nicht im CISA-Katalog der bekanntermaßen ausgebeuteten Schwachstellen (KEV) aufgeführt.
Für deutsche Organisationen empfehlen sich sofortige Maßnahmen: Der Zugang zum Captive Portal sollte auf vertrauenswürdige interne IP-Adressen beschränkt werden – das reduziert das Risiko erheblich. Zudem sollte die sofortige Installation der Mai-Patches in den IT-Sicherheitsplan aufgenommen werden. Da Firewalls als kritische Infrastruktur-Komponenten gelten, könnte eine Kompromittierung zu Datenschutz-Vorfällen führen und damit Meldepflichten nach DSGVO (mit Bußgeldern bis 4 % des Jahresumsatzes) auslösen.
Das BSI wird diese Entwicklung sicherlich als High-Priority-Sicherheitsmitteilung verfolgen. Betroffene Unternehmen sollten proaktiv ihre Systeme überprüfen, den Patch-Plan mit ihren IT-Teams abstimmen und notfalls andere Sicherheitsmaßnahmen temporär verstärken, bis die Patches eingespielt sind.