フォローする 
エッジセキュリティアプライアンスは引き続き高価値のターゲットであり、パッチが広く利用可能になる前に脆弱性が悪用される可能性があります。CVE-2026-0300脆弱性は、Palo Alto Networks PAN-OSのUser-ID Authentication Portal(別名Captive Portal)での重大なバッファオーバーフローです。Palo Altoは、ポータルがインターネットまたは他の信頼できないネットワークにさらされた場合、評価を9.3/10としており、未認証の攻撃者が特殊に作成されたパケットを送信することにより、影響を受けたPA-SeriesおよびVM-Seriesファイアウォールでルート権限で任意のコードを実行できると述べています。
CVE-2026-0300の分析を始めるチームにとって、CVE-2026-0300の最も重要な詳細は露出条件です。この問題は、User-ID Authentication Portalが有効な場合にのみ適用され、Palo Altoはアクセスが信頼できる内部IPアドレスに限定された場合、リスクが大幅に低下すると述べています。また、信頼できないIP空間や一般のインターネットに公開されたポータルに対して限定的な悪用がすでに観察されているとも述べています。
実際には、CVE-2026-0300はUser-ID Authentication Portalを使用するように設定されたPA-SeriesおよびVM-Seriesファイアウォールのみに影響を与えます。Prisma Access、Cloud NGFW、およびPanoramaは影響を受けません。そのため、露出を評価する際には、バージョンのレビューと同様に設定のレビューが重要です。
CVE-2026-0300の分析
CVE-2026-0300の脆弱性は、PAN-OSのUser-ID Authentication Portalサービスでのバッファオーバーフローです。Palo Altoによれば、悪用には資格情報やユーザーの相互作用は必要なく、攻撃者の目的は特定のネットワークパケットを通じてルートとしてのリモートコード実行です。SecurityWeekもこの欠陥を、一部のファイアウォールモデルを攻撃するために使用されるゼロデイとして説明し、これは理論的な問題ではないことを強調しています。
公開されているCVE-2026-0300のペイロードは、ディスクにドロップされるマルウェアファイルではなく、Captive Portalコンポーネントに送信される悪意のあるパケットシーケンスです。メーカーのアドバイザリや引用されたメディア報道には、公開されたCVE-2026-0300のpocは含まれていませんが、野生での悪用が確認されているため、ディフェンダーは熟練した脅威アクターがすでに活性化条件を十分に理解し、それを武器化していると仮定すべきです。
リスクの観点からは、CVE-2026-0300の検出は、外部から到達可能なAuthentication Portalインスタンスと信頼できないネットワークからそのサービスへのアクセス試行の兆候に集中すべきです。Palo Altoのアドバイザリは、パケットレベルのCVE-2026-0300のiocsを公開していないため、ディフェンダーはむしろ露出したポータル設定を特定し、許可される送信元IPレンジを狭め、インターネットに面したファイアウォールを修正の優先事項とすることが望ましいでしょう。
CVE-2026-0300の軽減
効果的なCVE-2026-0300の軽減は、修正が適用される前に露出を減らすことから始まります。Palo Altoは、有効にしなくとも済む場合はこのポータルのアクセスを信頼できるゾーン/内部IPアドレスに制限するか、完全に無効にすることを推奨しています。このアドバイスは特に重要です。なぜなら、公表時点でその脆弱性はまだ修正されておらず、最初の修正波が2026年5月13日に、追加のリリースがサポートされている12.1、11.2、11.1、および10.2トレインで2026年5月28日に予定されているからです。
環境内でCVE-2026-0300の露出を検出するには、Device > User Identification > Authentication Portal Settingsにてポータルが有効になっているかどうか確認し、それがインターネットまたは信頼されていないネットワークセグメントからアクセス可能かどうかを判断してください。Palo Altoのアドバイザリは、このセキュリティモデルに従う顧客が、サービスを公にアクセス可能な状態で放置するデプロイメントと比較して、大幅にリスクが低下することを明確に伝えています。
組織はまた、影響を受けたファイアウォールをPalo Altoの目標修正バージョンにマッピングし、関連するリリースが利用可能になり次第、アップグレード計画を準備するべきです。限定的な悪用がすでに進行中であるため、これは設定の強化と緊急変更管理を通常のメンテナンスウィンドウを待たずに並行して行うべきケースです。
FAQ
CVE-2026-0300とは何でどのように動作しますか?
CVE-2026-0300は、User-ID Authentication Portal(Captive Portal)での重大なPAN-OSのバッファオーバーフローです。Palo Altoは、未認証の攻撃者がこのサービスに特殊に作成されたパケットを送信し、影響を受けるPA-SeriesおよびVM-Seriesファイアウォールでルート権限で任意のコードを実行できると述べています。
CVE-2026-0300はいつ発見されましたか?
Palo Altoのアドバイザリによれば、この問題は実運用で発見され、2026年5月5日に公開されました。The Hacker NewsおよびSecurityWeekによる公的報道は2026年5月6日に続きました。
CVE-2026-0300がシステムに及ぼす影響は何ですか?
影響は重大です: 未認証の遠隔コード実行が露出したファイアウォールでルートとして実行されます。なぜなら、この脆弱性がネットワークエッジのセキュリティインフラに影響を与えるため、成功した悪用は攻撃者に対して高度に敏感な施行ポイントの特権制御を与える可能性があるからです。
CVE-2026-0300は2026年にも私に影響を及ぼしますか?
はい。影響を受けるPA-SeriesやVM-Seriesファイアウォールが、User-ID Authentication Portalを有効にし、信頼できないIPアドレスや公のインターネットにさらされている場合、特に関連パッチがインストールされるまで、2026年でも依然としてリスクがあります。
CVE-2026-0300からどのようにして自分を保護できますか?
User-ID Authentication Portalへのアクセスを信頼できる内部IPに制限し、それが不要な場合は無効にし、Palo Altoの修正済みPAN-OSビルドに可能な限り早く移行してください。ベンダーは、これらのステップが活発な悪用が続いている間にリスクを実質的に削減すると明言しています。
