[TLP:CLEAR] Palo Alto PAN-OS opravuje 8 zranitelností
Palo Alto opravuje 8 zranitelností v PAN-OS (PA-Series a VM-Series firewalls). Nejzávažnější zranitelnosti jsou popsány níže, zbylé naleznete na [1]. Očekávaný termín vydání některých oprav je 28.5.2026, viz [1]. Jednotlivé opravené verze produktu: PAN-OS 12.1 - 12.1.4-h5, 12.1.7 PAN-OS 11.2 - 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12 PAN-OS 11.1 - 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15 PAN-OS 10.2 - 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6
Neautentizovanému vzdálenému útočníkovi je při zapnuté službě Cloud Authentication Service (CAS) umožněno obejít autentizační kontroly, zejména při povolení CAS na rozhraní pro správu [2].
Zranitelnost se nachází v produktu PAN-OS ve verzích (>=10.2.7 AND <10.2.7-h34) OR (>=10.2.10 AND <10.2.10-h36) OR (>=10.2.13 AND <10.2.13-h21) OR (>=10.2.16 AND <10.2.16-h7) OR (>=10.2.18 AND <10.2.18-h6) OR (>=11.1.4 AND <11.1.4-h33) OR (>=11.1.6 AND <11.1.6-h32) OR (>=11.1.7 AND <11.1.7-h6) OR (>=11.1.10 AND <11.1.10-h25) OR (>=11.1.13 AND <11.1.13-h5) OR (>=11.2.4 AND <11.2.4-h17) OR (>=11.2.7 AND <11.2.7-h13) OR (>=11.2.10 AND <11.2.10-h6) OR (>=12.1.4 AND <12.1.4-h5).
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/AU:N/R:U/V:D/RE:M/U:Red
Více informací:
- CVE-2026-0265 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-347: Improper Verification of Cryptographic Signature at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 5. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu buffer overflow ve funkcích DNS proxy a DNS Server a prostřednictvím zasílání speciálně upraveného síťového provozu umožněno vykonat DoS útok nebo potenciálně spustit libovolný kód [3].
Zranitelnost se nachází v produktu PAN-OS ve verzích (>=10.2.7 AND <10.2.7-h34) OR (>=10.2.10 AND <10.2.10-h36) OR (>=10.2.13 AND <10.2.13-h21) OR (>=10.2.16 AND <10.2.16-h7) OR (>=10.2.18 AND <10.2.18-h6) OR (>=11.1.4 AND <11.1.4-h33) OR (>=11.1.6 AND <11.1.6-h32) OR (>=11.1.7 AND <11.1.7-h6) OR (>=11.1.10 AND <11.1.10-h25) OR (>=11.1.13 AND <11.1.13-h5) OR (>=11.2.4 AND <11.2.4-h17) OR (>=11.2.7 AND <11.2.7-h13) OR (>=11.2.10 AND <11.2.10-h6) OR (>=12.1.4 AND <12.1.4-h5).
CVSS: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:U/AU:Y/R:U/V:C/RE:H/U:Red
Více informací:
- CVE-2026-0264 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 5. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu buffer overflow při zpracování protokolu IKEv2 umožněno vykonat DoS útok nebo spustit libovolný kód se zvýšenými oprávněními na firewallu [4].
Zranitelnost se nachází v produktu PAN-OS ve verzích (>=10.2.7 AND <10.2.7-h34) OR (>=10.2.10 AND <10.2.10-h36) OR (>=10.2.13 AND <10.2.13-h21) OR (>=10.2.16 AND <10.2.16-h7) OR (>=10.2.18 AND <10.2.18-h6) OR (>=11.1.4 AND <11.1.4-h33) OR (>=11.1.6 AND <11.1.6-h32) OR (>=11.1.7 AND <11.1.7-h6) OR (>=11.1.10 AND <11.1.10-h25) OR (>=11.1.13 AND <11.1.13-h5) OR (>=11.2.4 AND <11.2.4-h17) OR (>=11.2.7 AND <11.2.7-h13) OR (>=11.2.10 AND <11.2.10-h6) OR (>=12.1.4 AND <12.1.4-h5).
CVSS: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:U/AU:Y/R:U/V:C/RE:H/U:Red
Více informací:
- CVE-2026-0263 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 5. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 19. 5. 2026.
