1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. パロアルトネットワークス、PAN-OSの脆弱性を修正(CVE-2025-4619)

パロアルトネットワークス、PAN-OSの脆弱性を修正(CVE-2025-4619)

セキュリティニュース

投稿日時: 更新日時:

パロアルトネットワークス、PAN-OSの脆弱性を修正(CVE-2025-4619)

Palo Alto Networksは2025年11月13日、PAN-OSにおけるサービス不能(DoS)脆弱性 CVE-2025-4619 を公表しました。認証なしにデータプレーン経由で特定の細工パケットを1回送るだけでファイアウォールを再起動させることが可能で、繰り返し送信されるとメンテナンスモードに移行します。対象はPA-Series、VM-Series、Prisma Accessで、Cloud NGFWとPAN-OS 12.1は影響を受けません。CVSS(v4.0換算のベンダー指標)は 6.6(Severity: MEDIUM)、公開時点で悪用の事実は把握していないとしています。

概要

Palo Alto Networksは2025年11月13日、PAN-OSにおけるサービス不能(DoS)脆弱性 CVE-2025-4619 を公表しました。認証なしにデータプレーン経由で特定の細工パケットを1回送るだけでファイアウォールを再起動させることが可能で、繰り返し送信されるとメンテナンスモードに移行します。対象はPA-Series、VM-Series、Prisma Accessで、Cloud NGFWとPAN-OS 12.1は影響を受けません

CVSS(v4.0換算のベンダー指標)は 6.6(Severity: MEDIUM)、公開時点で悪用の事実は把握していないとしています。

露出条件

本脆弱性は、次のいずれかの機能が有効化されたファイアウォールに適用されます。

  • URL Proxy が構成されている場合

  • 任意のDecryptポリシー(明示的Decrypt/明示的No-Decrypt/その他の復号設定)を構成している場合
    復号設定が有効な環境では、トラフィックが個々の復号ポリシーにマッチするか否かを問わず事象が発生し得ます。

影響の有無

Cloud NGFW

  • 影響なし

PAN-OS 12.1

  • 影響なし

PAN-OS 11.2(PA-Series/VM-Series/Prisma Access ベース)

  • 11.2.0〜11.2.1(全ビルド)

  • 11.2.2〜11.2.2-h1(11.2.2-h2 未満)

  • 11.2.3〜11.2.3-h5(11.2.3-h6 未満)

  • 11.2.4〜11.2.4-h3(11.2.4-h4 未満)

  • 11.2.5 未満は影響あり

PAN-OS 11.1

  • 11.1.2-h9 以上かつ 11.1.2-h18 未満

  • 11.1.3-h2 以上(当該系の修正指定はなく、後述の修正版へ移行が必要)

  • 11.1.4-h4 以上かつ 11.1.4-h13 未満

  • 11.1.6-h1 未満

  • 11.1.7 未満(上記範囲に該当するビルドが影響)

PAN-OS 10.2

  • 10.2.0〜10.2.3

  • 10.2.4-h25 未満(※10.2.4-h25 自体は影響あり)

  • 10.2.7-h11 以上かつ 10.2.7-h24 未満

  • 10.2.8-h10 以上かつ 10.2.8-h21 未満

  • 10.2.9-h6 以上かつ 10.2.9-h21 未満

  • 10.2.10-h2 以上かつ 10.2.10-h14 未満

  • 10.2.11-h12 未満

  • 10.2.12-h6 未満

  • 10.2.13-h3 未満

  • 10.2.14 未満は影響あり

Prisma Access(PAN-OS ベース)

  • 11.2 系:11.2.4-h4 未満

  • 10.2 系:10.2.10-h14 未満(10.2.4-h25 を含む構成は影響範囲に該当)

修正/非影響バージョン(すべて)

Cloud NGFW

  • 対応不要(影響なし)

PAN-OS 12.1

  • 対応不要(影響なし)

PAN-OS 11.2

  • 11.2.2-h2 以降

  • 11.2.3-h6 以降

  • 11.2.4-h4 以降

  • 11.2.5 以降

PAN-OS 11.1

  • 11.1.2-h18 以降

  • 11.1.4-h13 以降

  • 11.1.6-h1 以降

  • 11.1.7 以降
    (注:11.1.3 系は 11.1.3-h2 以上が影響のため、11.1.4-h13 以降または 11.1.7 以降へ移行)

PAN-OS 10.2

  • 10.2.7-h24 以降

  • 10.2.8-h21 以降

  • 10.2.9-h21 以降

  • 10.2.10-h14 以降

  • 10.2.11-h12 以降

  • 10.2.12-h6 以降

  • 10.2.13-h3 以降

  • 10.2.14 以降
    (補足:10.2.4-h25 は影響あり。10.2.4 系での恒久対処は推奨されず、上位の修正系へ更新が必要)

Prisma Access(PAN-OS ベース)

  • 11.2.4-h4 以降

  • 10.2.10-h14 以降

関連記事

Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108)Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108) パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 Palo Alto Networks(パロアルトネットワークス)の「PAN-OS」で緊急度の高い脆弱性が発生(CVE-2024-3400 )Palo Alto Networks(パロアルトネットワークス)の「PAN-OS」で緊急度の高い脆弱性が発生(CVE-2024-3400) Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108)Palo Alto NetworksのPAN-OSの脆弱性(CVE-2025-0110)のPoCが公開 https://rocket-boys.co.jp/security-measures-lab/palo-alto-pan-os-cve-2025-0133-fixed-poc-exploit-found/Palo Alto NetworksのPAN-OSの脆弱性(CVE-2025-0133)が修正-PoCエクスプロイトも確認 2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査 パロアルトネットワークスがCVE-2024-9463 (CVSS 9.9) を含む重大な脆弱性について勧告パロアルトネットワークスがCVE-2024-9463 (CVSS 9.9) を含む重大な脆弱性について勧告 Default ThumbnailMoxaのIIoTゲートウェイ「AIG-301シリーズ」の特定バージョンで既知の脆弱性 azure-uamqp に影響すると発表 Palo Alto Networks、深刻度の高い脆弱性(CVE-2025-4232)を含む複数の脆弱性を修正Palo Alto Networks、深刻度の高い脆弱性(CVE-2025-4232)を含む複数の脆弱性を修正