14
Jul 2026
Alerta de Vulnerabilidade - Palo Alto Networks PAN-OS
SISTEMAS AFETADOS
Palo Alto Networks PAN-OS
| CVSS v4.0 - Resumo Técnico |
| Vetor |
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:U/AU:N/R:U/V:D/RE:M/U:Red |
| CVSS |
7.2 / 10 |
Alto |
| Vetor de Ataque |
Rede |
Exploração remota via rede |
| Complexidade |
Baixa |
Fácil de explorar |
| Requisitos de Ataque |
Presentes |
Requer um Terminal Server Agent configurado e acessível |
| Privilégios |
Nenhum |
Sem autenticação |
| Interação |
Nenhuma |
Não requer intervenção do utilizador |
Impacto no sistema vulnerável (C/I/A) |
Alta / Alta / Alta |
Comprometimento total da confidencialidade, integridade e disponibilidade |
Impacto em sistemas subsequentes (C/I/A) |
Baixa / Baixa / Baixa |
Impacto limitado em sistemas subsequentes |
| Resumo |
Vulnerabilidade de severidade alta (CVSS 7.2) resultante de múltiplos buffer overflows no componente User-ID Terminal Server Agent (TSA) do PAN-OS. A exploração remota via rede permite que um atacante não autenticado provoque uma condição de negação de serviço (DoS) ou execute potencialmente código arbitrário, através do envio de tráfego de rede especialmente manipulado. Não requer autenticação nem interação do utilizador, mas exige que exista, pelo menos, uma entrada do Terminal Server Agent configurada. Exploração não reportada. |
Descrição
Conjunto de vulnerabilidades críticas de buffer overflow (CWE-787), identificado como CVE-2026-0288/EUVD-2026-42388, no componente User-ID Terminal Server Agent (TSA) do software PAN-OS da Palo Alto Networks [1][2][3]. Um atacante remoto e não autenticado, com acesso de rede ao IP e porto do TSA, pode enviar tráfego de rede especialmente manipulado para corromper memória [3]. Encontram-se afetadas as versões PAN-OS 10.2, 11.1, 11.2 e 12.1 e o Prisma Access 10.2 e 11.2. O Palo Alto Panorama e o Cloud NGFW não são afetados. Apenas são afetados os dispositivos com, pelo menos, uma entrada de Terminal Server Agent configurada em Device > User Identification > Terminal Server Agents [3].
Impacto
A exploração pode conduzir a uma condição de negação de serviço (DoS) ou, potencialmente, à execução remota de código arbitrário (RCE) no dispositivo afetado [3]. O risco é mais elevado quando o acesso ao IP e porto do TSA está exposto à Internet ou a redes não confiáveis, sendo reduzido quando o acesso está restringido a endereços IP internos de confiança [3].
Resolução
Recomenda-se a atualização para as versões corrigidas do PAN-OS indicadas pelo fabricante [3]:
- PAN-OS 12.1: 12.1.4-h8, 12.1.7-h2 ou 12.1.8;
- PAN-OS 11.2: 11.2.4-h20, 11.2.7-h18, 11.2.10-h12 ou 11.2.13;
- PAN-OS 11.1: 11.1.4-h35, 11.1.6-h35, 11.1.7-h8, 11.1.10-h30, 11.1.13-h9 ou 11.1.16;
- PAN-OS 10.2: 10.2.7-h36, 10.2.10-h39, 10.2.13-h23, 10.2.16-h9 ou 10.2.18-h8.
Medida de mitigação adicionais: restringir a conectividade do User-ID Terminal Server Agent apenas a endereços IP internos de confiança e impedir a sua exposição à Internet, de acordo com as boas práticas de configuração do fabricante [3]. O Cloud NGFW não requer ação e para o Prisma Access o fabricante procede à atualização no ciclo de manutenção seguinte [3].
Referências
[1] -
https://nvd.nist.gov/vuln/detail/CVE-2026-0288[2] -
https://euvd.enisa.europa.eu/vulnerability/CVE-2026-0288[3] -
https://security.paloaltonetworks.com/CVE-2026-0288