ISSコラム

column by iss

2026年5月の主な脆弱性情報

2026.06.04

Palo Alto Networks PAN-OS CVE-2026-0300(CVSS 9.8:Critical)

Palo Alto Networks PAN-OSの CVE-2026-0300は最優先で対応するべきである。Palo Alto Networksのアドバイザリによれば、本脆弱性はUser-ID Authentication Portal、いわゆるCaptive Portalサービスに存在するout-of-bounds writeであり、公開インターネットまたは信頼されていないIPアドレスから当該ポータルへ到達可能な構成で限定的な悪用が確認されている。NVDの説明では、細工されたパケットにより未認証攻撃者がPA-SeriesおよびVM-Seriesファイアウォール上でroot権限の任意コード実行に至り得るとされる。

この脆弱性の実務上の重大性は、攻撃対象が一般的なWebサーバではなく、境界防御の中核であるファイアウォールそのものである点にある。攻撃が成立した場合、攻撃者はroot権限で装置上の設定、認証ポータル、User-ID情報、ポリシー、場合によってはVPNや内部セグメントへの到達経路を把握できる。侵害後TTPとしては、設定情報の窃取、認証情報・セッション情報の収集、ポリシー変更、管理者アカウント追加、トラフィックミラーリング、内部ネットワークへのピボットが想定される。検知ポイントは、Authentication Portalへの異常なリクエスト、ポータル公開IPへのスキャン増加、管理者操作ログ、設定差分、予期しない再起動、未知プロセス、脅威ログとシステムログの相関が重要になる。標準ベストプラクティス通り、認証ポータルを信頼済み内部ネットワークに制限している組織ではリスクが大きく下がるが、インターネット公開されていた場合はパッチ適用だけでなく、機器への侵害を前提にした設定内容・ログ・管理者資格情報の確認が必要である。 

Cisco Catalyst SD-WAN Controller CVE-2026-20182(CVSS 10.0:Critical)

Cisco Catalyst SD-WAN Controllerの CVE-2026-20182 は、5月14日にCISA KEVへ追加された認証バイパス脆弱性である。Ciscoのアドバイザリは、制御接続のハンドシェイクにおける認証メカニズムの問題として本件を説明し、侵害が疑われる場合にはadmin-tech bundleを取得してTACへ相談するよう案内している。Rapid7は、既に悪用が確認されていたCVE-2026-20127の調査過程で本脆弱性を発見したと説明しており、The Hacker Newsは、本脆弱性がDTLS port 12346経由でSD-WAN認証を迂回し、管理者アクセスにつながり得ると報じている。PoC/ExploitについてはRapid7の技術分析により攻撃原理が公開されているため、実運用では「再現可能な攻撃手法が既に共有されている」と扱うべきである。 

SD-WAN Controller/Managerは、拠点間通信、ルーティング、トンネル、ポリシー、証明書、テンプレート、管理APIを統制するため、侵害時の影響は単一装置に閉じない。攻撃者がvHub等の内部構成要素を装って制御プレーンに参加できる場合、ネットワーク構成の把握、トラフィック経路の改変、ルート注入、管理API操作、設定改ざん、さらには拠点横断の監視回避に発展し得る。検知観点では、Ciscoが示すcontrol connectionsの確認、未知のsystem IP、予期しないpeer role、異常なpublic IP、保守時間外のpeeringイベント、NETCONF/API操作、テンプレート変更、証明書関連イベントを重点的に見る必要がある。SD-WANは「ネットワークの管理面」そのものであり、侵害時には通常のEDRでは検知が難しいため、装置ログのSIEM転送、設定差分監査、管理面のIP制限、TACACS+/RADIUSログとの相関が不可欠である。 

cPanel & WHM CVE-2026-41940(CVSS 9.8:Critical)

ホスティング事業者・Web制作会社・多数の中小企業サイトを巻き込む可能性がある重大脆弱性が、cPanel & WHM / WP2の CVE-2026-41940 である。cPanelは4月28日に、cPanelソフトウェアに認証バイパス問題が存在すると公表した。Rapid7によれば、本脆弱性はcPanel & WHMのログインおよびセッションロード処理におけるCRLF injectionに起因する認証バイパスであり、watchTowrによる技術分析とPoCが4月29日時点で公開されていた。PicusはCVSS 9.8、CISA KEV掲載、in-the-wild exploitationありと整理し、悪用はパッチ公開より約2か月前から存在した可能性を指摘している。 

cPanel/WHMは単なる管理UIではなく、Webサイト、メール、DNS、DB、SSL証明書、バックアップ、アカウント管理をまとめて扱うホスティング管理面である。攻撃者が認証を迂回してWHM相当の権限を得た場合、Webshell設置、全アカウントのファイル取得、メールボックス窃取、DNS改ざん、TLS証明書操作、バックアップ削除、追加管理者作成、ランサムウェア展開が可能になる。検知ポイントは、/usr/local/cpanel配下のセッションファイル、異常なBasic Authヘッダ、CRLFを含むリクエスト、予期しないWHMログイン、rootパスワード変更、cpanel/whm API操作、.htaccessやPHPファイルの改ざん、メール転送設定の追加を確認する必要がある。PoC公開済みかつKEV掲載済みであるため、外部公開cPanelについては、更新確認だけでなく、パッチ前期間の管理操作ログとWebコンテンツ改ざんの調査を行うべきである。 

Ivanti Endpoint Manager Mobile CVE-2026-6973(CVSS 7.2:High)

Ivanti EPMMの CVE-2026-6973 は、EPMM 12.6.1.1、12.7.0.1、12.8.0.1より前のバージョンに影響する。IvantiおよびNVDの説明では、リモートから認証済みの管理者権限を持つユーザーが不適切な入力検証を悪用してRCEに到達できる。The Hacker Newsは、Ivantiが本件について限定的なin-the-wild exploitationを警告したと報じている。CISA KEVにも掲載されており、悪用確認あり、PoC/Exploitは限定的ながら攻撃条件が明確で、管理者権限を得た後のRCEとして実運用上の危険性が高い。 

この脆弱性は「管理者権限が必要だから低リスク」と判断すべきではない。EPMMはモバイル端末、証明書、MDMプロファイル、アプリ配布、リモートワイプ、VPN/メール設定に関与するため、攻撃者がフィッシングやセッション窃取でEPMM管理者権限を得た後、本脆弱性を使ってアプライアンス上でコード実行し、管理面の永続化や機密情報取得へ進む可能性がある。検知では、EPMM管理者ログイン、管理API操作、異常なプロファイル配布、証明書関連操作、アプライアンス上の不審プロセス、管理者アカウントの追加・権限変更を確認する必要がある。Ivanti製品は過去にも境界装置・管理基盤として繰り返し標的化されており、EPMMが外部公開または広範な管理者アクセスを許している場合は、更新と同時に管理者認証ログの精査が必要である。 

TanStack / Nx Console / DAEMON Tools Liteのサプライチェーン系CVE

5月27日にCISA KEVへ追加された CVE-2026-8398、CVE-2026-45321、CVE-2026-48027 は、従来型のソフトウェア欠陥というより、正規配布経路が侵害されたサプライチェーン事案として扱うべきである。CVE-2026-8398はDAEMON Tools Liteの公式インストールパッケージが侵害され、Windows版12.5.0.2421から12.5.0.2434の公式配布物にトロイの木馬化されたバイナリが含まれた事案である。CVE-2026-45321は、TanStackの42個の@tanstack/* npmパッケージに84個の悪性バージョンが公開されたサプライチェーン攻撃で、GitHub Actionsのpull_request_target誤設定、cache poisoning、OIDC token窃取、trusted publisherの悪用が組み合わされた。CVE-2026-48027はNx Consoleの悪性バージョン18.95.0がVisual Studio MarketplaceとOpenVSXで短時間公開された事案である。 

これらの共通点は、攻撃者が「ユーザーに怪しいものを入れさせる」のではなく、正規の配布経路・正規の開発者識別子・正規のMarketplaceを悪用している点である。Security Affairsは、CISAがこれら3件をKEVへ追加し、DAEMON Tools Lite、TanStack、Nx ConsoleについてCVSS 9点台の重大リスクとして扱っていると報じている。Nx Consoleの悪性ペイロードは、Vault、Kubernetes、AWS、npm、GitHub、1Password、Docker、GCP資格情報、秘密鍵、接続文字列などを収集し、HTTPS、GitHub API、DNS経由で外部送信を試みたとされる。運用上は、影響バージョンの削除だけでなく、当該期間にインストールまたはビルドされた端末・CI runner・開発者端末上のシークレットローテーション、npm/GitHub tokenの失効、Marketplace拡張の棚卸し、ビルドログ確認が必要になる。 

本コラムについて

インターネットセキュアサービス㈱(以下、ISS)が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。