CVE-2026-0279 in Captive Portal
Zusammenfassung
von VulDB • 10.07.2026
Mehrere Cross-Site-Scripting-(XSS)-Schwachstellen im User-ID™ Authentication Portal (auch bekannt als Captive Portal) Service, den GlobalProtect™ Gateway-/Portal-Funktionen und dem Clientless VPN der Palo Alto Networks PAN-OS® Software ermöglichen es einem böswilligen, nicht authentifizierten Benutzer, einen schädlichen JavaScript-Payload zu speichern oder auszuführen.
Das durch dieses Problem verursachte Sicherheitsrisiko wird minimiert, wenn die Verwaltungsschnittstelle und der Zugriff auf das User-ID™ Authentication Portal gemäß unseren empfohlenen Best-Practice-Bereitstellungsrichtlinien (https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431) nur auf vertrauenswürdige interne IP-Adressen beschränkt sind.
Dieses Problem betrifft PAN-OS Software auf PA-Series und VM-Series Firewalls sowie Panorama (virtuell und M-Serie).
Cloud NGFW ist von dieser Schwachstelle nicht betroffen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.