حذرت Palo Alto Networks من ثغرة أمنية حرجة في برنامج PAN-OS يجري استغلالها فعلياً ضد بعض الجدران النارية المكشوفة على الإنترنت، في تطور يضع المؤسسات التي تستخدم بوابة User-ID Authentication Portal أمام حاجة عاجلة لتقييد الوصول إلى الخدمة، أو تعطيلها في حال عدم الحاجة إليها.
تتعلق الثغرة، المسجلة بالمعرف CVE-2026-0300، بخلل في تجاوز حدود الذاكرة داخل خدمة User-ID Authentication Portal، المعروفة أيضاً باسم Captive Portal. ووفق تحذير نشرته الشركة يوم الثلاثاء 5 مايو 2026، يمكن لمهاجم غير موثق إرسال حزم معدة خصيصاً لتنفيذ تعليمات برمجية عن بُعد بصلاحيات الجذر على أجهزة PA-Series وVM-Series المتأثرة.
تبلغ درجة الخطورة 9.3 وفق معيار CVSS عندما تكون البوابة متاحة من الإنترنت أو من شبكات غير موثوقة، وتنخفض إلى 8.7 عندما يقتصر الوصول إليها من عناوين داخلية موثوقة. وأفادت Palo Alto Networks بأن الاستغلال المرصود حتى الآن محدود، ويستهدف تحديداً الحالات التي تكون فيها بوابات User-ID Authentication Portal مكشوفة لعناوين غير موثوقة أو للعامة.
وتؤثر الثغرة في إصدارات متعددة من PAN-OS ضمن الفروع 10.2 و11.1 و11.2 و12.1، وفق جداول الإصدارات المتأثرة التي نشرتها الشركة. ولا تشمل الثغرة منتجات Prisma Access وCloud NGFW وأجهزة Panorama، كما أنها تقتصر فقط على الجدران النارية التي تم تفعيل خدمة User-ID Authentication Portal فيها.
ولم تكن التحديثات النهائية متاحة فور نشر التحذير، إذ حددت Palo Alto Networks مواعيد لإصدار إصلاحات عبر عدة فروع بدءاً من 13 مايو 2026، على أن تمتد بعض الإصدارات إلى 28 مايو 2026. وإلى حين تثبيت الإصدارات المصححة، أوصت الشركة بتقييد الوصول إلى البوابة من المناطق الموثوقة فقط، أو تعطيلها بالكامل إذا لم تكن جزءاً ضرورياً من بيئة التشغيل.
تكمن أهمية التحذير في أن الثغرة لا تتطلب مصادقة أو تفاعلاً من المستخدم، كما أن صلاحيات الجذر على جهاز أمني محيطي قد تتيح للمهاجمين موقعاً حساساً داخل الشبكة. ولذلك، ينبغي للفرق الأمنية مراجعة إعدادات البوابة فوراً، وحصر الأجهزة المكشوفة، ومطابقة إصدارات PAN-OS مع جدول التأثر الرسمي، ثم ترتيب التحديثات وفق درجة التعرض الفعلي.
