CVE-2026-0300 : Palo Alto exploité, patch que le 13 mai

Ce qui s'est passé

Mercredi 6 mai 2026, l'agence américaine CISA a ajouté la vulnérabilité CVE-2026-0300 à son catalogue Known Exploited Vulnerabilities (KEV). La faille touche le service User-ID Authentication Portal — anciennement Captive Portal — du système d'exploitation PAN-OS qui équipe les pare-feu de Palo Alto Networks. Selon l'avis officiel publié par l'éditeur, il s'agit d'un débordement de tampon (buffer overflow) déclenchable par un attaquant non authentifié, qui obtient à l'issue de l'exploitation une exécution de code arbitraire avec les privilèges root sur l'appliance.

Le score CVSS atteint 9.3 lorsque le portail est exposé directement à Internet ou à des zones non fiables, et redescend à 8.7 si l'accès est restreint à des plages IP internes. Le périmètre touché couvre l'ensemble des appliances physiques PA-Series ainsi que les déploiements virtuels VM-Series. Selon l'éditeur, les offres managées Prisma Access, Cloud NGFW et la console Panorama ne sont pas affectées.

L'exploitation reste qualifiée de « limited » par Palo Alto Networks, mais cible précisément les instances dont le portail captif est ouvert sur Internet. Plusieurs équipes de réponse à incident, dont Rapid7, ont publié des analyses techniques le 6 mai indiquant que la vulnérabilité s'active via l'envoi de paquets spécialement formés vers le service d'authentification, sans nécessité de credentials valides. La chaîne d'exploitation aboutit directement à un shell root, ce qui place l'attaquant en position de pivoter dans le réseau interne, désactiver les règles de filtrage, ou injecter des règles malveillantes pour exfiltrer du trafic.

La situation est rendue plus délicate par le calendrier des correctifs : Palo Alto Networks a annoncé que les premières mises à jour ne seraient disponibles qu'à partir du 13 mai 2026. Pendant cette fenêtre d'une semaine, l'éditeur recommande aux clients de restreindre l'accès au User-ID Authentication Portal aux seules zones de confiance, et de désactiver les Response Pages dans le profil de gestion d'interface attaché à toutes les interfaces L3 exposées à des zones non fiables ou à Internet.

CISA, de son côté, a fixé une échéance courte aux agences fédérales du Federal Civilian Executive Branch : les mitigations doivent être appliquées au plus tard le 9 mai 2026, soit trois jours seulement après la publication de l'alerte. Le Centre canadien pour la cybersécurité a relayé l'avis sous la référence AV26-425, et le CERT-FR devrait suivre. Les régulateurs européens n'ont pas encore publié de communiqué, mais la directive NIS2 impose désormais aux entités essentielles de patcher les vulnérabilités exploitées dans des délais comparables.

Les pare-feu Palo Alto figurent parmi les équipements de bordure les plus déployés dans les grandes entreprises, le secteur financier et les administrations. Le portail captif est largement utilisé pour authentifier les utilisateurs invités sur le Wi-Fi, ou pour appliquer des politiques d'accès basées sur l'identité dans les environnements zero-trust. Cette exposition explique pourquoi la communauté infosec considère CVE-2026-0300 comme l'une des vulnérabilités d'infrastructure réseau les plus sensibles publiées depuis le début de l'année 2026.

Help Net Security et SecurityWeek soulignent que les attaques observées suivent un schéma déjà connu : scan massif des plages IP exposant TCP/443 vers des appliances Palo Alto, identification des bannières HTTP du portail captif, puis envoi du payload de débordement. Les indicateurs de compromission publiés par Rapid7 incluent des connexions sortantes vers une infrastructure C2 dédiée, ainsi que des modifications du fichier de configuration de l'appliance pour assurer la persistance après reboot.

Pour les entreprises françaises, le risque est concret : selon les estimations de Cloudswitched, plusieurs milliers d'instances PAN-OS sont actuellement exposées sur Internet en Europe, dont une part non négligeable utilise le portail captif. La fenêtre de 7 jours avant le patch officiel constitue une période à très haut risque, durant laquelle l'application immédiate des mitigations recommandées par l'éditeur est la seule défense disponible.

Pourquoi c'est important

Les vulnérabilités d'exécution de code à distance non authentifiée sur des équipements de sécurité périmétrique sont parmi les pires scénarios qu'une entreprise puisse subir. Le pare-feu n'est pas seulement un dispositif de filtrage : il est aussi le point de visibilité réseau, le porteur des règles d'accès, et fréquemment l'emplacement où sont stockés ou validés les certificats TLS d'inspection. Compromettre l'appliance, c'est ouvrir simultanément la porte du réseau interne et désactiver le système de détection.

Cette CVE s'inscrit dans une série préoccupante. Au cours des 18 derniers mois, plusieurs équipementiers majeurs — Palo Alto, Fortinet, Ivanti, SonicWall — ont vu leurs produits frontaux faire l'objet d'exploitations zero-day par des groupes étatiques chinois, iraniens ou nord-coréens. Le scénario typique consiste à compromettre l'appliance, à installer un implant persistant survivant aux mises à jour, puis à utiliser cette tête de pont pour se déplacer latéralement vers les Active Directory, les serveurs de virtualisation ou les bases de données métier. Le rapport annuel 2025 de l'ANSSI consacrait déjà un chapitre entier à ces compromissions d'équipements de bordure.

Le délai entre la publication d'un avis et la disponibilité d'un patch — ici sept jours — pose un problème structurel. Les éditeurs d'équipements réseau testent leurs correctifs sur de multiples versions et architectures matérielles, ce qui ralentit le cycle de release. Pendant ce temps, les acteurs malveillants ont accès à toute la documentation technique nécessaire pour développer un exploit fiable. Cette asymétrie pousse les RSSI à envisager des mesures plus radicales : segmentation systématique du plan de gestion, exposition zéro des interfaces d'administration sur Internet, et adoption de modèles d'accès Just-in-Time pour les portails captifs.

Pour les entités soumises à NIS2, la question dépasse le simple correctif technique. La directive impose une notification à l'autorité compétente sous 24h en cas d'incident significatif, ainsi qu'une obligation de moyens en matière de gestion des vulnérabilités. Une compromission via CVE-2026-0300 sans application des mitigations recommandées par l'éditeur exposerait l'organisation à une procédure de sanction, en plus du coût opérationnel de l'incident lui-même. Les DSI des opérateurs essentiels et importants doivent donc documenter sans délai l'application des contournements, même partiels.

Ce qu'il faut retenir

• CVE-2026-0300 permet une exécution de code root non authentifiée sur PAN-OS via le portail User-ID, score CVSS 9.3 en exposition Internet.
• Aucun patch disponible avant le 13 mai 2026 : appliquer immédiatement les mitigations (restriction d'accès au portail, désactivation des Response Pages).
• Les agences fédérales américaines doivent être conformes au 9 mai ; les opérateurs NIS2 doivent documenter les contournements appliqués pour rester en règle.