Palo Alto Networks は 5 月 6 日、PAN-OS の User-ID 認証ポータル (通称 Captive Portal) に重大な未認証 RCE 脆弱性 CVE-2026-0300 が存在し、現時点で攻撃者による実環境悪用が観測されていると公表しました。攻撃者は特定の細工パケットを送るだけで root 権限のコード実行が可能で、修正版がリリースされる前段階での緊急対応が求められています。
主なポイント
- CVE-2026-0300 は PAN-OS の User-ID Authentication Portal サービスにあるバッファオーバーフロー
- PA シリーズおよび VM シリーズ ファイアウォールで Captive Portal を有効化している構成が影響を受ける
- 未認証の攻撃者が任意のコードを root で実行可能。Palo Alto は「悪用は自動化が可能」とも明記
- 実環境攻撃が既に観測されており、CISA も悪用認知の対象として注視
- 修正パッチは 5 月中下旬リリース予定。それまでは認証ポータル機能の無効化や Threat Prevention 署名による緩和が推奨
出典: Root-level RCE vulnerability in Palo Alto firewalls exploited (CVE-2026-0300) (Help Net Security)