PAN-OSに深刻な脆弱性「CVE-2026-0300」発覚 root権限奪取の恐れ：悪用確認済みのため要注意

Palo Alto NetworksはPAN-OSに深刻な脆弱性が存在することを発表した。認証不要でroot権限のコード実行が可能だという。CISAが同脆弱性をKEVカタログに追加していることから悪用が懸念されるため注意してほしい。

[＠IT]

　Palo Alto Networksは2026年5月6日（現地時間）、同社のファイアウォールOS「PAN-OS」に深刻な脆弱（ぜいじゃく）性「CVE-2026-0300」が存在すると発表した。

　対象となる機能は「User-ID Authentication Portal」、別名「Captive Portal」と呼ばれるもので、「PA-Series」や「VM-Series」ファイアウォールが影響を受ける。

PAN-OSにCVSS 9.3の脆弱性　Palo Alto Networksが推奨する緩和策

　同脆弱性は「CVE-2026-0300」として識別されている。バッファーオーバーフローの脆弱性とされ、未認証の攻撃者が細工済みパケットを送信すると、root権限下で任意のコードが実行される可能性がある。共通脆弱性評価システム（CVSS）のスコアは9.3、深刻度「緊急」（Critical）と評価されている。

　CVE-2026-0300は、次の2点を同時に満たす場合に悪用が可能だ。一つは「User-ID Authentication Portal」の有効化、もう一つは外部からアクセス可能なインタフェースに、「Response Pages」を有効にした管理プロファイルを割り当てていることだ。

　影響範囲はPAN-OS 12.1、11.2、11.1、10.2系統の複数版に及ぶ。PAN-OS 12.1系では12.1.4-h5未満、12.1.7未満が対象。11.2系では11.2.4-h17未満、11.2.7-h13未満、11.2.10-h6未満、11.2.12未満が影響下に入る。11.1系では11.1.4-h33未満、11.1.6-h32未満、11.1.7-h6未満、11.1.10-h25未満、11.1.13-h5未満、11.1.15未満が対象。10.2系では10.2.7-h34未満、10.2.10-h36未満、10.2.13-h21未満、10.2.16-h7未満、10.2.18-h6未満が該当する。

　Palo Alto Networksは緩和策として、信頼済みゾーンへのアクセス制限や、外部用インタフェースでのResponse Pages無効化、不要環境での機能停止を勧告している。また「Threat Prevention」契約者は、特定のThreat ID（510019）を有効にすることで攻撃をブロック可能だが、これにはPAN-OS 11.1以降が必要となる。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はこの脆弱性を「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に追加した。

　今回の脆弱性は認証不要でroot権限でのコード実行が可能となる性質を持つ。境界防御装置そのものが侵害対象となる点から、企業ネットワーク全体に波及する危険もある。運用部門は外部公開状態の確認、管理プロファイル設定の点検、不要機能の停止、修正版の適用準備など対応が求められる。