Die Schwachstelle CVE-2026-0300 betrifft die PAN-OS-Software sowie die Firewalls der PA-Series und der VM-Series, sofern dort bestimmte Einstellungen konfiguriert sind. Mit einem Schweregrad von 9.3 von 10 stuft Palo Alto Networks das Problem als kritisch ein. Einen Patch gibt es noch nicht — er soll laut Hersteller im Verlauf der kommenden zwei Wochen in mehreren Releases bereitgestellt werden. Die Incident-Response-Firma Rapid7 geht davon aus, dass für viele Versionen voraussichtlich bis zum 13. Mai ein Patch erscheint.
Die US-Cybersicherheitsbehörde CISA bestätigte die aktive Ausnutzung und ordnete an, dass alle US-Bundesbehörden die Gegenmaßnahmen von Palo Alto Networks bis zum Samstag anwenden. Sicherheitsexperten hatten am Dienstagabend begonnen, vor der Lücke zu warnen; mehrere Unternehmen meldeten Angriffe, nachdem Exploit-Code veröffentlicht worden war.
Nach Darstellung von Palo Alto Networks konzentrieren sich die Angriffe auf Authentifizierungsportale, die für nicht vertrauenswürdige IP-Adressen oder das öffentliche Internet erreichbar sind. „Kunden, die übliche Sicherheitsstandards befolgen — etwa sensible Portale auf vertrauenswürdige interne Netze zu beschränken —, sind einem deutlich geringeren Risiko ausgesetzt", erklärte das Unternehmen.
Wegen der Verbreitung der Firewalls von Palo Alto Networks sind Schwachstellen in den Produkten des Herstellers zu gefragten Werkzeugen für Cyberkriminelle und staatlich gesteuerte Angreifer geworden. Bereits 2024 nutzten Kriminelle und staatliche Akteure mehrere Schwachstellen in verschiedenen Firewall-Reihen des Unternehmens aus. 2022 war Palo Alto zudem von einer Lücke in seinem Firewall-Produkt betroffen, die in einem verteilten Denial-of-Service-Angriff (DDoS) verwendet wurde.