Beveiligingsonderzoekers melden dat er actief misbruik wordt gemaakt van een nieuw kritiek lek in firewalls van Palo Alto Networks. Het lek bevindt zich in PAN-OS, het besturingssysteem van de firewalls, en maakt het mogelijk voor een ongeauthenticeerde aanvaller om met rootrechten willekeurige code uit te voeren.

De kwetsbaarheid, geregistreerd als CVE-2026-0300, zit in de User-ID Authentication Portal, ook wel Captive Portal genoemd, die wordt gebruikt voor gebruikersauthenticatie. Door het versturen van speciaal geprepareerde packets kan een buffer overflow worden veroorzaakt, waarna de aanvaller volledige controle over het systeem kan krijgen. Verdere technische details zijn niet openbaar gemaakt.

Palo Alto Networks adviseert organisaties om de toegang tot de authenticatieportal te beperken of de functionaliteit uit te schakelen als deze niet wordt gebruikt. Volgens het bedrijf is er tot nu toe slechts beperkt misbruik waargenomen, maar het is onbekend hoeveel klanten getroffen zijn en sinds wanneer de aanvallen plaatsvinden. Beveiligingsupdates worden verwacht op 13 en 28 mei 2026.