PHPに複数の脆弱性、アップデートを

Cybersecurity Newsは3月17日(現地時間)、「Multiple Security Vulnerabilities Plague PHP, Exposing Applications to Risk」において、プログラミング言語の「PHP」から複数の脆弱性が発見されたと報じた。

これら脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)または予期しない結果につながる可能性がある。

• 

  Multiple Security Vulnerabilities Plague PHP, Exposing Applications to Risk

脆弱性の情報

脆弱性の情報は次のページにまとまっている。

• Stream HTTP wrapper truncate redirect location to 1024 bytes · Advisory · php/php-src · GitHub
• Streams HTTP wrapper does not fail for headers with invalid name and no colon · Advisory · php/php-src · GitHub
• Header parser of http stream wrapper does not handle folded headers · Advisory · php/php-src · GitHub
• libxml streams use wrong content-type header when requesting a redirected resource · Advisory · php/php-src · GitHub
• Stream HTTP wrapper header check might omit basic auth header · Advisory · php/php-src · GitHub

脆弱性の情報(CVE)は次のとおり。

• CVE-2025-1861 - デフォルト設定で情報を切り捨てる脆弱性。URIが切り捨てられることにより、クエリの省略、異なるリソース参照など予期しない結果につながる可能性がある
• CVE-2025-1734 - HTTP(Hypertext Transfer Protocol)仕様に違反したヘッダーを処理する脆弱性。正常ではないヘッダーを有効なヘッダーとして処理する可能性がある
• CVE-2025-1217 - 折りたたまれたHTTPヘッダーを正しく処理できない脆弱性。複数行にまたがるヘッダー情報をそれぞれ別のヘッダーとして処理してしまうため、さまざまな処理を正常に実行できない可能性がある
• CVE-2025-1219 - DOMまたはSimpleXML拡張機能がリダイレクトを処理する場合に文字セットを誤って決定する脆弱性。リダイレクト実行時にヘッダー情報を追記する形で格納するため、常に先頭の「content-type」を使用することになり、最初に取得したHTTPヘッダーの文字セットを利用し続ける。攻撃者はHTTPサーバーから返される情報を誤って処理させ、検証をバイパスできる可能性がある
• CVE-2025-1736 - Stream HTTP wrapperのヘッダーチェックに不完全な改行コード処理の脆弱性。改行コード(\n)のみを使用しキャリッジリターン(\r)を使用しない場合、正常に動作しない可能性がある

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

• PHP 8.1.32よりも前のバージョン
• PHP 8.2.28よりも前のバージョン
• PHP 8.3.18よりも前のバージョン
• PHP 8.4.5よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

• PHP 8.1.32
• PHP 8.2.28
• PHP 8.3.19
• PHP 8.4.5

PHP Groupはこれら脆弱性の深刻度を「中程度」と評価している。実際の影響はアプリケーションの実装に左右される。これら製品を利用しているユーザーには、リスクを回避するため速やかなアップデートが推奨されている。