日頃より弊社サービスをご利用いただき誠にありがとうございます。
Palo Alto Networks 社より User-ID認証ポータルサービスを利用し
た脆弱性(CVE-2026-0300)についてのお知らせがアナウンスされましたので、以下の通りご
連絡いたします。
本脆弱性の影響を受けるバージョンをご利用のお客様については、
以下の対策へのご対応をお願いいたします。
対策への手順やご不明な点等のお問い合わせは、担当エンジニア、営業または、
弊社サポート窓口までご連絡をお願いいたします。
■概要
特定のPAN-OSがインストールされている次世代ファイアウォール(PAシリーズおよびVMシリーズ)にて、
User-ID認証ポータル(Captive Portal)サービスが構成されている場合、バッファオーバーフローの脆弱性の影響を受ける可能性があり、
認証されていない攻撃者が当該ファイアウォール上でroot権限による任意のコード実行を行える可能性がございます。
■影響を受けるPAN-OSバージョン
この問題は、以下に示すPAN-OSがインストールされているPAシリーズおよびPA-VMシリーズかつ、
「■影響を受ける構成」の場合に、脆弱性の影響を受ける可能性がございます。
・ PAN-OS 12.1 : 12.1.4-h5 未満の12.1.4系
12.1.6系、12.1.5系、12.1.3系、12.1.2系
・ PAN-OS 11.2 : 11.2.4-h17 未満の11.2.4系
11.2.7-h13 未満の11.2.7系
11.2.10-h6 未満の11.2.10系
11.2.11系、11.2.9系、11.2.8系、11.2.6系、
11.2.5系、11.2.3系~11.2.0系
・ PAN-OS 11.1 : 11.1.4-h33 未満の11.1.4系
11.1.6-h32 未満の11.1.6系
11.1.7-h6 未満の11.1.7系
11.1.10-h25 未満の11.1.10系
11.1.13-h5 未満の11.1.13系
11.1.14系、11.1.12系、11.1.11系、11.1.9系、
11.1.8系、11.1.5系、11.1.3系~11.1.0系
・ PAN-OS 10.2 : 10.2.7-h34 未満の10.2.7系
10.2.10-h36 未満の10.2.10系
10.2.13-h21 未満の10.2.13系
10.2.16-h7 未満の10.2.16系
10.2.18-h6 未満の10.2.18系
10.2.17系、10.2.15系、10.2.14系、10.2.12系、
10.2.11系、10.2.9系、10.2.8系、10.2.6系~10.2.0系
■影響を受ける構成
以下の設定を両方とも有効とし、User-ID認証ポータル(Captive Portal)が
構成されているPAシリーズおよびPA-VMシリーズは本脆弱性の影響を受けます。
(1) Device > User Identification > Authentication Portal Settings で
「Enable Authentication Portal」が有効化されている
※Transparent、Redirectのどちらのモードであっても条件に該当します
(2) 外部(インターネット)からアクセス可能なインターフェースに、
「Response Pages」設定が有効なinterface management profileが適用されている
※適用されているinterface management profile名は
Network > Interface > (対象のInterface名) > Advancedタブ の
「Management Profile」欄から確認可能です。
※interface management profileの設定は
Network > Network Profiles > Interface Mgmt から確認可能です。
■暫定対策
本脆弱性につきましては、修正済みPAN-OSがリリースされるまでの間、下記[1]または[2]の対策を講じることで、本脆弱性のリスクを軽減できます。
また、Threat Preventionサブスクリプションをご利用のお客様は、併せて下記[3]をご検討ください。
[1] User-ID認証ポータルへのアクセス制限
User-ID認証ポータルへのアクセスを信頼できるゾーン(内部IPアドレスのみ)に制限することを推奨いたします。
具体的には、信頼できないゾーン、ならびにインターネットからのトラフィックがインバウンドする可能性のあるゾーンに紐づく
すべてのL3インターフェースについて、Interface Management ProfileにてResponse Pagesを無効化していただく必要があります。
[2] User-ID認証ポータル機能の無効化
ご要件上、User-ID認証ポータル(Captive Portal)機能が不要なお客様におかれましては、
当該機能を無効化することで本脆弱性の影響を受けない構成とすることが可能です。
[3] 脆弱性防御プロファイルの適用
Threat Preventionサブスクリプションをご契約しているお客様は、
Threat ID 510019(Applications and Threatsコンテンツバージョン9097-10022以降で利用可能)
を使用して、本脆弱性に対する攻撃をブロックできます。
※本Threat IDの利用にはPAN-OS 11.1以降が必要です。
PAN-OS 10.2系をご利用のお客様におかれましては、上記[1]または[2]の対策をご検討ください。
■恒久対策
修正済みOSへのアップグレード
*現状、メーカー公開情報が随時更新されております。
最新の情報につきましては、必ずメーカーサイトをご覧ください。
https://security.paloaltonetworks.com/CVE-2026-0300
