CVE-2026-48133

Identity Awareness Captive Portal - Unauthenticated Local File Inclusion

CVSS 7.5 HIGHEPSS 4.8%CWE-98

En resumen

Cuando Identity Awareness está habilitado con autenticación basada en navegador, un usuario no autenticado puede leer archivos internos del servidor de seguridad sin iniciar sesión. Esto es peligroso porque los atacantes pueden acceder a información sensible del sistema sin permiso.

Detalle técnico

Existe una vulnerabilidad de inclusión de archivo local en el portal cautivo de Identity Awareness (CWE-98) cuando la autenticación basada en navegador está habilitada. Un atacante no autenticado puede explotar mecanismos de traversal de directorios o acceso a archivos para leer archivos arbitrarios del sistema de archivos del Security Gateway. Esto permite la divulgación de información sensible sin autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.

When the Identity Awareness blade is enabled with Browser-Based Authentication, an unauthenticated user may be able to read certain internal files on the Security Gateway.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

checkpoint · Quantum Security Gateway

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support.checkpoint.com/results/sk/sk184993