不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認

Palo Alto Networksの「PAN-OS」において2026年5月に判明した脆弱性が悪用されていることがわかった。米当局なども注意を呼びかけている。

「GlobalProtect」のポータルやゲートウェイを構成している場合に、認証を回避できる脆弱性「CVE-2026-0257」が悪用されていることがわかった。

同脆弱性は、「認証オーバーライド用Cookie」の検証処理における不備に起因。特定の証明書構成となっている場合、セキュリティによる制限を回避して不正なVPN接続を確立できる。

同社は共通脆弱性評価システム「CVSSv4.0」のベーススコアを「7.8」、重要度を「高（High）」と評価。現地時間2026年5月13日にセキュリティアドバイザリを公開した。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では共通脆弱性評価システム「CVSSv3.1」において、「CVE-2026-0257」のベーススコアを「9.1」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

（Security NEXT - 2026/06/01 ） ツイート

PR

関連記事

「Ivanti Sentry」に複数の深刻な脆弱性 - 修正版を公開
Adobe、「Adobe Acrobat Reader」に20件の脆弱性 - アップデートを公開
Adobeのマーケティング管理製品にRCE脆弱性 - 緊急対応を
SAP、月例アドバイザリを公開 - 「クリティカル」が4件
「Apache HTTPD」に複数脆弱性 - 「クリティカル」との評価も
MS、月例パッチを公開 - 200件以上の脆弱性に対応
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
「Veeam Backup & Replication」のバックアップサーバにRCE脆弱性
「FortiSandbox」のウェブUIに深刻なRCE脆弱性- アップデートを
「Chrome」にセキュ更新、脆弱性74件を修正 - 一部で悪用も