Palo Alto Networks Security Advisories / CVE-2026-0263

CVE-2026-0263 PAN-OS: Remote Code Execution (RCE) in IKEv2 Processing

Urgency HIGHEST

047910
Severity 7.2 · HIGH
Exploit Maturity UNREPORTED
Response Effort HIGH
Recovery USER
Value Density CONCENTRATED
Attack Vector NETWORK
Attack Complexity HIGH
Attack Requirements NONE
Automatable YES
User Interaction NONE
Product Confidentiality HIGH
Product Integrity HIGH
Product Availability HIGH
Privileges Required NONE
Subsequent Confidentiality LOW
Subsequent Integrity LOW
Subsequent Availability NONE
CVE JSON CSAF
Published 2026-05-13
Updated 2026-05-13
Discovered internally

Description

A buffer overflow vulnerability in the IKEv2 processing of Palo Alto Networks PAN-OS® software allows an unauthenticated network-based attacker to execute arbitrary code with elevated privileges on the firewall, or cause a denial of service (DoS) condition.

Panorama, Cloud NGFW, and Prisma® Access are not impacted by these vulnerabilities.

Product Status

VersionsAffectedUnaffected
Cloud NGFWNone
All
PAN-OS 12.1< 12.1.4-h5
< 12.1.7
>= 12.1.4-h5
>= 12.1.7 (ETA: 05/28)
PAN-OS 11.2< 11.2.4-h17
< 11.2.7-h13
< 11.2.10-h6
< 11.2.12
>= 11.2.4-h17 (ETA: 05/28)
>= 11.2.7-h13
>= 11.2.10-h6
>= 11.2.12 (ETA: 05/28)
PAN-OS 11.1< 11.1.4-h33
< 11.1.6-h32
< 11.1.7-h6
< 11.1.10-h25
< 11.1.13-h5
< 11.1.15
>= 11.1.4-h33
>= 11.1.6-h32
>= 11.1.7-h6 (ETA: 05/28)
>= 11.1.10-h25
>= 11.1.13-h5
>= 11.1.15 (ETA: 05/28)
PAN-OS 10.2None
All
Prisma AccessNone
All

Required Configuration for Exposure

This issue requires IKEv2 VPN tunnels that is configured with Post Quantum Cryptography (PQC) ciphers which are not NIST approved.

Severity: HIGH, Suggested Urgency: HIGHEST

CVSS-BT: 7.2 / CVSS-B: 9.2 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:U/AU:Y/R:U/V:C/RE:H/U:Red)

Exploitation Status

Palo Alto Networks is not aware of any malicious exploitation of this issue.

Weakness Type and Impact

CWE-787 Out-of-bounds Write

CAPEC-100 Overflow Buffers

Solution

VersionMinor VersionSuggested Solution
Cloud NGFW No action needed.
PAN-OS 12.112.1.5 through 12.1.6Upgrade to 12.1.7 or later.

12.1.2 through 12.1.4-h*Upgrade to 12.1.4-h5 or 12.1.7 or later.
PAN-OS 11.211.2.11 or laterUpgrade to 11.2.12 or later.

11.2.8 through 11.2.10-h*Upgrade to 11.2.10-h6 or 11.2.12 or later.

11.2.5 through 11.2.7-h*Upgrade to 11.2.7-h13 or 11.2.12 or later.

11.2.0 through 11.2.4-h*Upgrade to 11.2.4-h17 or 11.2.12 or later.
PAN-OS 11.111.1.14 or laterUpgrade to 11.1.15 or later.

11.1.11 through 11.1.13-h*Upgrade to 11.1.13-h5 or 11.1.15 or later.

11.1.8 through 11.1.10-h*Upgrade to 11.1.10-h25 or 11.1.15 or later.

11.1.7 through 11.1.7-h*Upgrade to 11.1.7-h6 or 11.1.15 or later.

11.1.5 through 11.1.6-h*Upgrade to 11.1.6-h32 or 11.1.15 or later.

11.1.0 through 11.1.4-h*Upgrade to 11.1.4-h33 or 11.1.15 or later.
PAN-OS 10.2
No action needed.
Prisma Access 
No action needed. 
All older unsupported PAN-OS versions  Upgrade to a supported fixed version.

Workarounds and Mitigations

Customers using IKEv2 VPN can mitigate this issue by configuring IKEv2 VPN tunnels only with NIST approved Post Quantum Cryptography (PQC) ciphers.

Acknowledgments

Palo Alto Networks thanks our internal security research teams for discovering and reporting this issue.

CPEs

cpe:2.3:o:palo_alto_networks:pan-os:12.1.6:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:12.1.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:12.1.4:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:12.1.4:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:12.1.4:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:12.1.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:12.1.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.11:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.10:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.10:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.10:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.10:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.10:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.10:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h12:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h11:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h8:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.7:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.6:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h15:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h14:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h12:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h11:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h9:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h8:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h6:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.4:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.2.0:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.14:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.13:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.13:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.13:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.13:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.12:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.11:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h21:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h12:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h9:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.10:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.9:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.8:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h29:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h25:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h23:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h22:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h21:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h20:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h19:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h18:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h17:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h14:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h6:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.6:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.5:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h32:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h27:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h25:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h18:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h17:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h15:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h13:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h12:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h11:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h10:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h9:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h8:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h7:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h6:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h5:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h4:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h3:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h2:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:h1:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.4:-:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.3:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.2:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.1:*:*:*:*:*:*:*

cpe:2.3:o:palo_alto_networks:pan-os:11.1.0:*:*:*:*:*:*:*

CPE Applicability

Timeline

Initial publication.
Terms of usePrivacyProduct Security Assurance and Vulnerability Disclosure PolicyReport vulnerabilitiesManage subscriptions
© 2026 Palo Alto Networks, Inc. All rights reserved.