
Eine Schwachstelle in PAN-OS ermöglicht bereits aktive Angriffe mit vollem Zugriff. Wenn Kolleginnen oder Kollegen in IT-Sicherheit das Thema verfolgen, kann ein ruhiges Weiterleiten nützlich sein.

Kritische PAN-OS-Lücke wird bereits angegriffen Handlungsfluss und Kernfakten
Palo Alto Networks warnt vor einer kritischen Sicherheitslücke in PAN-OS, die bereits aktiv angegriffen wird. Die Schwachstelle, bekannt als CVE-2026-0300, ermöglicht es Angreifern, durch einen Pufferüberlauf im User-ID-Authentifizierungsportal beliebigen Code mit root-Rechten auf betroffenen Firewalls auszuführen. Die betroffenen Systeme umfassen mehrere Versionen der PA- und VM-Reihen, sofern das Captive-Portal aktiviert ist. Standardmäßig ist diese Funktion jedoch nicht eingeschaltet.
Das Unternehmen plant die Veröffentlichung der Sicherheitsupdates erst in mehreren Wochen, weshalb vorübergehende Schutzmaßnahmen dringend empfohlen werden. Administratoren sollen das User-ID-Portal deaktivieren oder den Zugriff strikt auf vertrauenswürdige interne IP-Bereiche beschränken. Diese Maßnahmen senken zwar das Risiko, beseitigen die Lücke aber nicht vollständig.
Betroffene Versionen reichen von PAN-OS 10.2 bis 12.1. Cloud-basierte Lösungen wie Cloud NGFW, Prisma Access und Panorama-Appliances sind nicht betroffen. Palo Alto bestätigte bereits begrenzten Missbrauch über das offene Internet, insbesondere bei falsch konfigurierten Systemen. Die Entdeckung folgt auf frühere Sicherheitsvorfälle bei Palo Alto im Januar, die ebenfalls den Schutzumfang gefährdeten.
Fakten
- Palo Alto Networks warnt vor CVE-2026-0300, einer kritischen PAN-OS-Sicherheitslücke mit CVSS-Score von 9.3.
- Die Lücke ermöglicht Angreifern, beliebigen Code mit root-Rechten über das User-ID-Authentifizierungsportal auszuführen, sofern es aktiviert ist.
- Erste Sicherheitsupdates sind erst ab dem 13. Mai 2026 geplant, weshalb vorübergehende Maßnahmen wie Deaktivierung des Captive-Portals dringend empfohlen werden.
- Betroffen sind PAN-OS-Versionen 10.2, 11.1, 11.2 und 12.1; Cloud-Lösungen wie Prisma Access sind nicht betroffen.
- Palo Alto bestätigte bereits begrenzten Missbrauch der Lücke über nicht vertrauenswürdige IP-Adressen aus dem Internet.
Visuelle Nachrichtenerklärung von Canto. KI-Werkzeuge können die Produktion unterstützen. Redaktionelle Richtlinien





