PAN-OS : 13 CVE dont un buffer overflow RCE dans le User-ID TSA (CERTFR-2026-AVI-0853)
CERT-FR répercute le 9 juillet le palier Palo Alto Networks du 8 juillet : 13 vulnérabilités, dont CVE-2026-0288, un dépassement de tampon dans le User-ID TSA classé urgence maximale.
Le CERT-FR a publié le 9 juillet 2026 l'avis CERTFR-2026-AVI-0853, qui répercute la salve de bulletins de sécurité Palo Alto Networks du 8 juillet. Le palier corrige treize vulnérabilités touchant PAN-OS, Cortex XDR Broker VM, Prisma Access Agent et Prisma Browser. Trois impacts sont explicitement listés par le CERT-FR : exécution de code arbitraire à distance, élévation de privilèges et déni de service à distance. Le point saillant du palier est CVE-2026-0288, un dépassement de tampon dans l'agent User-ID sur serveur Terminal Server que Palo Alto classe en urgence maximale.
CVE-2026-0288 — buffer overflow dans le User-ID Terminal Server Agent
CVE-2026-0288 désigne plusieurs dépassements de tampon dans le composant User-ID Terminal Server Agent (TSA) de PAN-OS. Score CVSS-B 9,2 (élevé), urgence vendeur la plus haute du palier. Un attaquant capable d'atteindre l'IP et le port du TSA peut corrompre la mémoire de l'agent et obtenir une exécution de code à distance sur le pare-feu.
La surface n'est pas exposée par défaut : seuls les déploiements qui ont configuré au moins une entrée sous Device > User Identification > Terminal Server Agents l'utilisent. Historiquement c'est un composant courant chez les grandes organisations qui font de l'identification utilisateur via Citrix ou RDS. Vérifier si vous êtes concerné vaut mieux que supposer que vous ne l'êtes pas — beaucoup de configurations TSA datent d'audits IAM anciens et n'ont pas été retirées quand l'usage a bougé.
CVE-2026-0287 — déni de service dataplane, non authentifié
CVE-2026-0287 regroupe plusieurs dénis de service dans le traitement du trafic réseau côté PAN-OS. Un attaquant non authentifié ayant une visibilité réseau sur une interface dataplane peut, par du trafic spécialement forgé « vers ou à travers » l'interface, faire redémarrer le pare-feu. Des tentatives répétées basculent l'équipement en maintenance mode — un état inaccessible qui coupe le flux jusqu'à intervention manuelle.
Deux nuances importantes tirées du bulletin Palo Alto :
- Panorama n'est pas impacté.
- Prisma Access et Cloud NGFW disposent d'une résilience intégrée qui absorbe le trafic déclencheur ; les instances managées ne basculent pas en maintenance mode.
L'exposition pratique porte sur les pare-feux PAN-OS auto-hébergés dont une interface est atteignable — c'est-à-dire la quasi-totalité des déploiements sur site.
CVE-2026-0275 — élévation de privilèges locale dans Prisma Browser
CVE-2026-0275 est une élévation de privilèges locale dans Prisma Browser. Pertinent pour les endpoints où Prisma Browser a été déployé comme navigateur d'entreprise sous contrôle SASE. Le palier corrige la faille dans la dernière version distribuée par Palo Alto.
Versions concernées
Le CERT-FR récapitule les seuils de correction :
- PAN-OS 10.2.x antérieures à 10.2.18-h8
- PAN-OS 11.1.x antérieures à 11.1.4-h35 ou à 11.1.16
- PAN-OS 11.2.x antérieures à 11.2.13
- PAN-OS 12.1.x antérieures à 12.1.8
- Cortex XDR Broker VM entre 20.0.96 et 31.0.58 (non inclus)
- Prisma Access Agent sans les derniers correctifs de sécurité
Les branches PAN-OS antérieures à 10.2 sont hors palier. Si vous y êtes resté, la mise à jour vers une branche supportée est le seul chemin de remédiation.
Statut d'exploitation
Aucune exploitation active n'est documentée au 11 juillet pour l'une des treize CVE de ce palier. Le CERT-FR n'inclut pas de mention d'exploitation en cours. Palo Alto Networks ne rapporte pas d'observation d'abus au moment de la publication de PAN-SA-2026-0010. La catalogue KEV de la CISA ne contient aucune des CVE du palier au 11 juillet.
À surveiller : CVE-2026-0288 a la trajectoire des ajouts KEV les plus rapides de 2026 — RCE non authentifiée sur un équipement de bord largement déployé, composant activable via une case cochée dans la config. Si un PoC public sort avant le patch complet du parc, la fenêtre d'ajout se comptera en jours.
Que faire
- Recenser en priorité les pare-feux avec User-ID TSA activé. Console PAN-OS :
Device > User Identification > Terminal Server Agents. Si la liste n'est pas vide, CVE-2026-0288 vous concerne directement. Segmenter dès aujourd'hui l'accès réseau à l'IP et au port du TSA pour ne l'autoriser que depuis les serveurs Terminal Server légitimes, en attendant le patch. - Planifier les paliers PAN-OS vers 10.2.18-h8, 11.1.4-h35 / 11.1.16, 11.2.13 ou 12.1.8 selon la branche. La page des bulletins Palo Alto recense la chaîne complète des builds patchés.
- Mettre à niveau Cortex XDR Broker VM vers 31.0.58 ou une version postérieure. Les broker VMs sont un point d'entrée souvent oublié dans les inventaires — elles ne figurent pas dans la même interface de gestion que les pare-feux.
- Pousser la dernière version du Prisma Access Agent aux endpoints via MDM/Intune. La cadence de mise à jour côté agent est plus lente que côté firewall — vérifier le taux de conformité sur la flotte plutôt que supposer que la MDM a poussé.
- Sur les instances non-Prisma Access, préparer un plan de bascule : le déni de service dataplane de CVE-2026-0287 se déclenche sans authentification et sur trafic « vers ou à travers » l'interface, donc n'importe quel voisin réseau peut le tenter. Sur les entités NIS2 régulées, CERTFR-2026-AVI-0853 est la référence à consigner dans le suivi du délai de traitement.
- Suivre l'ajout au KEV. Une éventuelle inscription de CVE-2026-0288 déclenche 21 jours de délai fédéral côté américain, ce qui donne un signal d'accélération utile même hors périmètre US.
Contexte
C'est le cinquième palier Palo Alto Networks que le CERT-FR répercute en 2026, et le premier depuis CERTFR-2026-AVI-0796 fin juin, qui portait sur CVE-2026-0257 — la RCE PAN-OS activement exploitée. Ce palier-ci est différent : pas d'exploitation en cours, mais treize CVE d'un coup, dont une avec l'urgence vendeur maximale.
Le point d'attention structurel : le User-ID TSA est le troisième composant PAN-OS en dix-huit mois à devenir vecteur RCE. Le composant User-ID en tant que famille — Cloud Identity Engine, TSA, Redistribution — porte une part croissante des CVE haute-sévérité Palo Alto depuis 2025. Pour les équipes qui construisent l'identification utilisateur au pare-feu comme une couche d'authorisation, l'implication opérationnelle est nette : traiter la surface User-ID comme une surface d'attaque à part entière, avec sa propre segmentation, ses propres logs et son propre RASCI de patch — pas comme une extension bénigne du firewall.