CVE-2026-0300: qué deben hacer ahora los administradores de firewalls Palo Alto PAN-OS

Por qué CVE-2026-0300 exige acción inmediata

Los atributos técnicos son los que normalmente colocan una vulnerabilidad al principio de la lista: vector de ataque por red, baja complejidad, sin privilegios, sin interacción del usuario, sin requisitos adicionales de ataque y explotación automatizable . En la práctica, eso significa que no conviene esperar a la próxima ventana ordinaria de mantenimiento si el portal está expuesto.

Unit 42 afirma que conoce una explotación limitada y que sigue un clúster de actividad probablemente patrocinado por un Estado que explota la vulnerabilidad . El Centro Canadiense de Ciberseguridad también informó de reportes de explotación activa recibidos por Palo Alto y señaló que CISA, la agencia estadounidense de ciberseguridad, añadió CVE-2026-0300 a su catálogo de vulnerabilidades explotadas conocidas, KEV, el 6 de mayo de 2026 .

Que la explotación se describa como limitada no la convierte en un riesgo aplazable. El Center for Internet Security indica que la explotación observada se ha dirigido a User-ID Authentication Portals expuestos a direcciones IP no confiables o a la internet pública, mientras que los clientes que restringen portales sensibles a redes internas confiables reducen mucho el riesgo . Unit 42 coincide en que el riesgo de ejecución remota de código sin autenticación aumenta de forma significativa cuando el portal está expuesto a internet o a redes no confiables .

Qué sistemas revisar primero

Empiece por firewalls Palo Alto Networks PA-Series y VM-Series que ejecuten PAN-OS y tengan habilitado User-ID Authentication Portal/Captive Portal . Para cada equipo, clasifique la exposición: internet pública, otra red no confiable o solo rangos internos confiables.

Los reportes sobre la puntuación de Palo Alto señalan un CVSS de 9,3 cuando el portal permite acceso desde internet o desde una red no confiable, y de 8,7 cuando el acceso se restringe a direcciones IP internas confiables . Una puntuación menor no equivale a una solución: los sistemas afectados con acceso solo interno también deben seguir la ruta de actualización recomendada por el proveedor .

Unit 42 indica que Prisma Access, Cloud NGFW y los appliances Panorama no están afectados por esta vulnerabilidad . Eso ayuda a acotar la priorización, pero no sustituye una auditoría de los despliegues PA-Series y VM-Series, sobre todo en entornos donde Captive Portal haya estado expuesto a IP no confiables .

Plan de acción para administradores de PAN-OS

1. Localice todos los despliegues de User-ID Authentication Portal

Haga inventario de los firewalls PAN-OS e identifique qué dispositivos PA-Series y VM-Series tienen activado User-ID Authentication Portal/Captive Portal . En cada caso, documente si el portal es accesible desde internet, desde alguna red no confiable o únicamente desde rangos internos confiables. Trate cualquier exposición pública o no confiable como prioridad máxima, porque ahí se concentra el riesgo más alto descrito por los avisos disponibles .

2. Restrinja o desactive el portal ahora

Limite el User-ID Authentication Portal solo a redes internas confiables. Si no puede garantizar esa restricción de forma fiable, desactive el acceso al portal hasta que el dispositivo pueda ser remediado. La Agencia de Ciberseguridad de Singapur recomienda a usuarios y administradores de versiones afectadas restringir o desactivar el acceso al portal hasta que haya actualizaciones de seguridad .

3. Parchee según el aviso de Palo Alto, no con tablas copiadas

CERT-EU recomienda actualizar los dispositivos afectados en cuanto estén disponibles los parches y aplicar soluciones temporales y mitigaciones mientras tanto . Use el aviso de Palo Alto Networks para CVE-2026-0300 como fuente autorizada sobre versiones afectadas y versiones corregidas para su rama de PAN-OS .

4. Verifique los controles de exposición después del parche

No dé por hecho que una actualización de software elimina por sí sola el riesgo operativo. Después de parchear, confirme que User-ID Authentication Portal no sea alcanzable desde la internet pública ni desde redes no confiables, salvo que exista una necesidad de negocio documentada y controles compensatorios. Restringir portales sensibles a redes internas confiables se describe como una postura de buenas prácticas que reduce mucho el riesgo .

5. Investigue cualquier firewall que haya estado expuesto

Cualquier firewall afectado cuyo portal haya sido accesible desde redes no confiables debe pasar por una evaluación de compromiso antes de volver a recibir confianza normal. Preserve registros, revise tráfico hacia el portal, busque cambios de configuración inesperados y analice señales de actividad posterior a la explotación. La razón es directa: una explotación exitosa puede dar ejecución de código sin autenticación con privilegios de root en el firewall .

Organismos federales de EE. UU.: trátelo como emergencia KEV

Para equipos federales estadounidenses sujetos a procesos de CISA KEV, CVE-2026-0300 no es solo un aviso de proveedor. El Centro Canadiense de Ciberseguridad informó que CISA añadió la vulnerabilidad al catálogo KEV el 6 de mayo de 2026 , y los reportes actuales señalan que las agencias federales deben remediar las vulnerabilidades incluidas en KEV bajo BOD 22-01 .

Esos equipos deberían conservar evidencia de descubrimiento de activos, restricción o desactivación del portal, estado de parcheo, validación de la versión corregida de PAN-OS, prueba de que no queda una ruta desde redes no confiables y evaluación de compromiso para cualquier firewall que haya estado expuesto.

Si no puede parchear de inmediato

Mantenga las mitigaciones hasta que la versión corregida adecuada esté disponible e instalada en el despliegue afectado . Si el negocio no puede tolerar desactivar Captive Portal, restrinja el acceso a rangos IP internos confiables y aumente la monitorización. Si no es posible parchear ni aplicar una restricción fiable, aísle el firewall del acceso no confiable o retire el servicio expuesto hasta completar la remediación. La exposición residual es alcanzable por red, no requiere autenticación, es automatizable y ya fue reportada como explotada .

Errores que conviene evitar

• No espere al mantenimiento rutinario si el portal está expuesto a internet o a una red no confiable; esa es la configuración de mayor riesgo descrita en los avisos disponibles .
• No trate la restricción a redes internas como arreglo permanente. Reduce el riesgo, pero los dispositivos afectados siguen necesitando la remediación correspondiente de PAN-OS .
• No use listas de versiones corregidas copiadas de terceros como autoridad final. Consulte el aviso de Palo Alto para el estado vigente del proveedor y la guía por versión .
• No se detenga en el parche si el firewall estuvo expuesto durante el periodo de explotación. Complete una revisión de compromiso porque el fallo puede permitir ejecución de código con privilegios de root .

La postura mínima segura es sencilla: eliminar el acceso no confiable al User-ID Authentication Portal, seguir el aviso de Palo Alto para el parcheo y analizar cualquier firewall expuesto antes de restaurar la confianza operativa normal .