Palo Alto Networks - CVE-2026-0257

Date de publication : 01/06/2026

Il s'agit d'une vulnérabilité de contournement d'authentification dans les composants portail et passerelle GlobalProtect de PAN-OS.

PAN-OS est le système d'exploitation embarqué sur les pare-feux et appliances réseau de Palo Alto Networks. Il intègre nativement le composant GlobalProtect, solution de VPN et d'accès distant sécurisé, déployée sur les portails et passerelles de l'entreprise pour authentifier les utilisateurs distants.

Lorsqu'un pare-feu est configuré avec les cookies d'override d'authentification activés et que le certificat utilisé pour chiffrer et déchiffrer ces cookies est partagé avec un autre service, notamment le service HTTPS du portail ou de la passerelle, un attaquant distant non authentifié peut extraire la clé publique de ce certificat. Il lui est alors possible de forger et chiffrer un cookie d'override d'authentification arbitraire. Ce cookie forgé est déchiffré côté serveur sans contrôle d'intégrité suffisant et accepté comme légitime, contournant ainsi la vérification d'identité.

Elle permet à un attaquant d'établir une connexion VPN non autorisée et d'accéder au réseau interne de l'organisation cible.

CVE-2026-0257

[Score CVSS v3.1 : 9.1]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-565 : Reliance on Cookies without Validation and Integrity Checking

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   PAN-OS versions antérieures à 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 et 10.2.18-h6 (branche 10.2)
•   PAN-OS versions antérieures à 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 et 11.1.15 (branche 11.1)
•   PAN-OS versions antérieures à 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 et 11.2.12 (branche 11.2)
•   PAN-OS versions antérieures à 12.1.4-h6 et 12.1.7 (branche 12.1)
•   Prisma Access versions antérieures à 10.2.10-h36 (branche 10.2)
•   Prisma Access versions antérieures à 11.2.7-h13 (branche 11.2)
•   Toutes les versions PAN-OS antérieures aux branches 10.2, 11.1, 11.2 et 12.1 (versions en fin de support, EOL)

Contournement provisoire

• Générer un certificat dédié exclusivement aux cookies d'override d'authentification, distinct du certificat HTTPS du portail ou de la passerelle, et ne pas le partager avec d'autres fonctionnalités ou utilisateurs
• Désactiver les options d'override d'authentification (génération et acceptation de cookies) dans la configuration du portail et de la passerelle GlobalProtect

Solutions ou recommandations

•   PAN-OS 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 et 10.2.18-h6 et supérieures (branche 10.2)
•   PAN-OS 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 et 11.1.15 et supérieures (branche 11.1)
•   PAN-OS 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 et 11.2.12 et supérieures (branche 11.2)
•   PAN-OS 12.1.4-h6 et 12.1.7 et supérieures (branche 12.1)
•   Versions PAN-OS en fin de support : mise à niveau vers une version supportée et corrigée