Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en PAN-OS® de Palo Alto Networks (CVE-2025-0133)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/05/2025
Última modificación:
03/04/2026

Descripción

Una vulnerabilidad cross-site scripting (XSS) reflejado en las funciones de portal y puerta de enlace de GlobalProtect™ del software PAN-OS® de Palo Alto Networks permite la ejecución de JavaScript malicioso en el navegador de un usuario autenticado de un portal cautivo al hacer clic en un enlace especialmente manipulado. El principal riesgo son los ataques de phishing que pueden provocar el robo de credenciales, especialmente si se ha habilitado la VPN sin cliente. No se ha visto afectada la disponibilidad de las funciones ni los usuarios de GlobalProtect. Los atacantes no pueden usar esta vulnerabilidad para manipular o modificar el contenido o la configuración del portal o las puertas de enlace de GlobalProtect. El impacto en la integridad de esta vulnerabilidad se limita a permitir que un atacante cree enlaces de phishing y robo de credenciales que parecen estar alojados en el portal de GlobalProtect. Para los usuarios de GlobalProtect con la VPN sin cliente habilitada, el impacto en la confidencialidad es limitado debido a los riesgos inherentes de la VPN sin cliente que facilitan el robo de credenciales. Puede obtener más información sobre este riesgo en el boletín informativo PAN-SA-2025-0005 (https://security.paloaltonetworks.com/PAN-SA-2025-0005). La confidencialidad de los usuarios de GlobalProtect no se ve afectada si no habilita (o deshabilita) la VPN sin cliente.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/S:N/AU:N/R:U/V:D/RE:M/U:Amber CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.70 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/S:N/AU:N/R:U/V:D/RE:M/U:Amber

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Safety (S): Negligible
Automatable (AU): No
Recovery (R): Usuario
Value Density (V): Diffuse
Vulnerability Response Effort (RE): Moderate
Provider Urgency (U): Amber
Exploit Maturity (E): Unreported

Puntuación base 4.0
2.70
Gravedad 4.0
BAJA

Referencias a soluciones, herramientas e información