Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je v softwaru PAN-OS GlobalProtect Portal a Gateway umožněno obejít bezpečnostní omezení a navázat neoprávněné VPN připojení. Zranitelnost je zneužitelná v případě, že je v nastavení GlobalProtect Portal (či Gateway) aktivováno generování nebo přijímání cookies pro „authentication override“ a k jejich šifrování je použit stejný certifikát, jaký zabezpečuje HTTPS přístup na dané rozhraní [1]. Upozorňujeme, že po aplikaci aktualizace dojde k invalidaci stávajících cookies a bude nutné se jednorázově autentizovat znovu. Není-li okamžitá aktualizace na opravenou verzi možná, postup dočasné mitigace je popsán na [1]. Detailní analýzu zranitelnosti naleznete na [3] a PoC na [4].

Zranitelnost se nachází v produktech:

• PAN-OS ve verzích (>=10.2.7 AND <10.2.7-h34) OR (>=10.2.10 AND <10.2.10-h36) OR (>=10.2.13 AND <10.2.13-h21) OR (>=10.2.16 AND <10.2.16-h7) OR (>=10.2.18 AND <10.2.18-h6) OR (>=11.1.4 AND <11.1.4-h33) OR (>=11.1.6 AND <11.1.6-h32) OR (>=11.1.7 AND <11.1.7-h6) OR (>=11.1.10 AND <11.1.10-h25) OR (>=11.1.13 AND <11.1.13-h5) OR (>=11.2.4 AND <11.2.4-h17) OR (>=11.2.7 AND <11.2.7-h14) OR (>=11.2.10 AND <11.2.10-h7) OR (>=12.1.4 AND <12.1.4-h6)
• Prisma Access ve verzích (>=10.2.10 AND <10.2.10-h36) OR (>=11.2.7 AND <11.2.7-h13)

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:H/SI:H/SA:N/E:A/AU:N/R:A/V:D/RE:M/U:Red

Více informací:

• CVE-2026-0257 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-565: Reliance on Cookies without Validation and Integrity Checking at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 5. 2026.