Zum Inhalt springen
Auto-CTI
Zurück zu heute
KEV NEU CRITICAL

PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation

The Hacker News · · CVE-2026-0257

Kennzahlen

CVSS
7.8
EPSS
0%
KEV-Frist
1. Juni 2026

Betroffene Versionen

pan-os pan-os 10.2.7 pan-os 10.2.8

Key Insight

Eine aktiv ausgebeutete Authentifizierungslücke in PAN-OS GlobalProtect ermöglicht unbefugten VPN-Zugriff ohne Palo Alto Networks in der Infrastruktur selbst zu nennen , aber für Hersteller mit Palo Alto-Firewalls ist dies unmittelbare Abwehrpriorität.

Beschreibung

CVE-2026-0257 ist eine Authentifizierungslücke in PAN-OS GlobalProtect und Prisma Access (CVSS 7,8), die es Angreifern erlaubt, VPN-Verbindungen ohne echte Authentifizierung aufzubauen. Die Anfälligkeit tritt auf, wenn Authentication-Override-Cookies aktiviert sind und eine bestimmte Zertifikatskonfiguration vorhanden ist. Rapid7 und Arctic Wolf berichten von erfolgreicher Ausnutzung ab Mitte Mai 2026 in mehreren Wellen, wobei frühe Angriffe bereits am 17. Mai 2026 beobachtet wurden. Dies folgt auf das Ausnutzen einer zweiten kritischen Lücke (CVE-2026-35616) in Fortinet FortiClient EMS zur Verbreitung von Credential-Stealing-Malware.

Risk Score

100
cvss base
78.00
kev bonus
20.00
epss bonus
0.00
poc bonus
15.00
raw before weight
113.00
industry weight
1.10
freshness factor
1.00
days old
0.00
vendor mismatch penalty
0.00

Pfad: operational

MITRE ATT&CK Mapping

4 TTPs
Recon
Resource Dev
Initial Access
T1190 Exploit Public-Facing Application T1133 External Remote Services
Execution
Persistence
Priv. Escal.
Def. Evasion
T1078 Valid Accounts
Cred. Access
T1539 Steal Web Session Cookie
Discovery
Lateral Mov.
Collection
C2
Exfiltration
Impact
Conf.: high medium low

Procedure-Details

Technik Tactic Procedure Conf. Quelle
T1190
Exploit Public-Facing Application
 Initial Access Threat actors actively exploited CVE-2026-0257, an authentication bypass vulnerability in Palo Alto Networks PAN-OS GlobalProtect portal and gateway, to bypass security restrictions on internet-facing VPN appliances starting as early as May 17, 2026. high llm
T1078
Valid Accounts
 Defense Evasion Attackers leveraged the authentication bypass via manipulated authentication override cookies to establish unauthorized VPN connections, effectively impersonating legitimate authenticated users without valid credentials. high llm
T1133
External Remote Services
 Initial Access Following successful exploitation, attackers established unauthorized VPN sessions through GlobalProtect, with VPN IP assignment observed in at least two cases granting access to the internal network. high llm
T1539
Steal Web Session Cookie
 Credential Access The vulnerability involved abuse of authentication override cookies in PAN-OS GlobalProtect; attackers exploited the cookie-based authentication mechanism to bypass normal authentication and gain unauthorized VPN access. medium llm
ESC