CVE-2026-0279 in Captive Portal
要約
〜によって VulDB • 2026年07月10日
Palo Alto NetworksのPAN-OS®ソフトウェアにおけるUser-ID™認証ポータル(別名:キャプティブポータル)サービス、GlobalProtect™ゲートウェイ/ポータルの機能およびクライアントレスVPNには、複数のクロスサイトスクリプティング(XSS)脆弱性が存在します。これにより、悪意のある未認証ユーザーが malicious JavaScriptペイロードを保存または実行することが可能になります。
この問題によって引き起こされるセキュリティリスクは、推奨されるベストプラクティスのデプロイメントガイドラインに従い、管理インターフェースおよびUser-ID™認証ポータルへのアクセスを信頼できる内部IPアドレスのみに制限することで軽減されます:https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
この問題は、PAシリーズおよびVMシリーズファイアウォール上のPAN-OSソフトウェア、ならびにPanorama(仮想版およびMシリーズ)に影響します。
Cloud NGFWはこの脆弱性の影響を受けません。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.