Palo Alto Networksは、PAN-OSファイアウォールソフトウェアに新たに発見された3件の脆弱性に関するセキュリティアドバイザリを公開しました。このうち最も深刻なものは、認証済み管理者がroot権限で任意のコマンドを実行できるというもので、システムレベルの制限をすべて回避することが可能です。
3件の中で最も影響が大きいのは、CVE-2026-0273です。これはコマンドインジェクション(CWE-78)に分類される脆弱性で、CVSS 4.0では6.1(Medium)と評価されていますが、エクスプロイト成熟度の調整を除いたベーススコアは8.6に達します。
この脆弱性はPAN-OS®ソフトウェアに存在し、認証済みの管理者であれば、CLIまたはWeb UIのいずれかを経由してOSレベルのコマンドをインジェクトし、root権限で実行することが可能です。システムに組み込まれた制限も回避されてしまいます。
影響を受けるのは、PA-SeriesおよびVM-Seriesのファイアウォール、ならびにPanorama(仮想アプライアンスおよびM-Seriesアプライアンス)で、対象となるPAN-OSのバージョンは10.2、11.1、11.2、12.1です。
Cloud NGFWおよびPrisma® Accessは影響を受けないことが明示されています。この脆弱性は2026年6月10日に公開され、6月11日に更新されました。外部からの報告により発見されたもので、Palo Alto Networksによると現時点で悪意ある悪用は確認されていないとのことです。
密接に関連する脆弱性として、CVE-2026-0272も公開されています。これは権限昇格の脆弱性(CWE-862:認可の欠如)で、CVSS 6.0(Medium)と評価されています。
CLIアクセス権を持つ認証済み管理者が、root権限でデバイス上の操作を実行できるというものです。CVE-2026-0273と比較すると、CLIアクセスのみに限定されるためWeb UIを経由した攻撃経路がなく、攻撃対象領域はやや限定的です。
影響を受けるハードウェアプラットフォームおよびPAN-OSのバージョン(10.2〜12.1)はCVE-2026-0273と同様で、Cloud NGFWおよびPrisma Accessには影響しません。
3件目の脆弱性CVE-2026-0269は、トンネルトラフィックの処理に影響するメモリ破損の脆弱性(CWE-754)で、CVSS 4.6(Medium)と評価されています。
隣接ネットワーク上の認証済みユーザーが悪意を持って細工したパケットを送信することで、制御不能なシステム再起動を引き起こすことができます。繰り返し悪用されるとファイアウォールがメンテナンスモードに移行し、持続的なサービス拒否(DoS)状態を招きます。
このCVEはIPSecトンネルまたはGlobalProtect Gatewayが設定されたファイアウォールにのみ影響します。また、他の2件とは異なり、本番環境での実使用中に発見された点も注目されます。
Palo Alto Networksは、公開しているベストプラクティスのデプロイガイドラインに従い、管理インターフェースへのアクセスを信頼された内部IPアドレスのみに制限するよう強く推奨しています。
CVE-2026-0273については、Threat Preventionサブスクリプションを有効にしているユーザーが、管理トラフィックのインバウンド経路をデータプレーン(DP)インターフェース経由で受信している場合に限り、Threat ID 510028および510029を有効化することで悪用の試みをブロックできます。
PA-SeriesまたはVM-Seriesハードウェア上で影響を受けるPAN-OSバージョンを運用している組織は、これらのアドバイザリを中程度の緊急度をもって受け止め、次回のメンテナンスウィンドウでのパッチ適用を優先すべきです。管理インターフェースがインターネットに公開されている場合、リスクは大幅に高まります。
翻訳元: https://cyberpress.org/critical-palo-alto-pan-os-flaw/
