Threatpostは1月5日(米国時間)、「RCE 'Bug' Found and Disputed in Popular PHP Scripting Framework|Threatpost」において、人気の高いWebアプリケーションフレームワーク「Zend Framework」およびその後継プロジェクトであるLaminas Projectの成果物にリモートコード実行の脆弱性があると伝えた。ただし、この脆弱性はツール側ではなく、PHPの問題という指摘があるとともに係争状態にある点に注意が必要。

問題の脆弱性の概要は次のページにまとめられている。

  • CVE - CVE-2021-3007

    CVE - CVE-2021-3007

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Zend Framework 3.0.0
  • Laminas Project laminas-http 2.14.1およびこれよりも前のバージョン

Zend Framework 3.0.0はすでにサポートが終了している。laminas-httpのベンダーはこの問題をlaminas-httpの脆弱性ではなく、PHP言語そのものの脆弱性だと認識している。このため、上記のCVEも係争状態(DISPUTED)という位置づけになっているほか、脆弱性が修正されたというlaminas-http 2.14.2のリリースメッセージでも脆弱性の修正ではなく「セキュリティの強化」という言葉が使われている。

最近、CVEで係争状態に位置づけられている脆弱性もサイバー攻撃に使われる傾向が出てきており注意が必要。この脆弱性を悪用するには脆弱なコードを書く必要があるとされており、攻撃対象としてどの程度汎用的に使えるかは不透明だが、該当するプロダクトを使っている場合は迅速にアップデートを適用することが望まれる。