つみかさね

CVE-2026-0284

Critical(9.9)

Palo Alto PAN-OS LSVPNのXMLインジェクション CVE-2026-0284:影響範囲と対応方法

公開日: 2026-07-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
PAN-OSPalo Alto NetworksLSVPN機能有効時(詳細はベンダーアドバイザリ参照)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1PAN-OSでLarge Scale VPN(LSVPN)機能を利用しているか確認する
  2. 2ベンダーの公式アドバイザリで対象バージョンと修正パッチを確認する
  3. 3修正パッチを適用する。適用が難しい場合はLSVPN機能の利用停止を検討する

影響対象

PAN-OS LSVPN機能利用者

補足

  • -Panorama、Cloud NGFW、Prisma Accessはこの脆弱性の影響を受けません
CVEPAN-OSPalo Alto NetworksXMLインジェクションVPN

30秒で判断

  • 対応すべき人: PAN-OSでLarge Scale VPN(LSVPN)機能を利用している人
  • 対応不要な人: LSVPN機能を利用していない人、Panorama・Cloud NGFW・Prisma Accessのみを利用している人(本脆弱性の対象外)
  • 確認コマンド: PAN-OSのバージョンとLSVPN設定の有無を管理コンソールで確認し、ベンダーの公式アドバイザリで対象バージョンかどうかを照合

概要

Palo Alto Networks PAN-OSのLarge Scale VPN(LSVPN)機能に、XMLインジェクションの脆弱性が見つかりました。ネットワークアクセスを持つ未認証の攻撃者が悪意あるXMLコンテンツを注入でき、LSVPNサテライトデータの情報漏えいや破損につながる可能性があります。なお、Panorama、Cloud NGFW、Prisma Accessはこの脆弱性の影響を受けません。

CVSSベクトル

指標
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeChanged
Confidentiality ImpactHigh
Integrity ImpactHigh
Availability ImpactHigh
CVSSスコア9.9 (Critical)

影響を受けるソフトウェア

製品バージョン
PAN-OS(LSVPN機能有効時)ベンダーアドバイザリで確認が必要

Panorama、Cloud NGFW、Prisma Accessは対象外です。

修正バージョンと回避策

  • 具体的な修正バージョンはベンダーの公式アドバイザリで確認し、該当するパッチを適用してください。
  • 直ちにパッチを適用できない場合は、LSVPN機能の利用停止やネットワークアクセス制限の強化を検討してください。

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。