Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「PHP」に複数脆弱性 - セキュリティリリースが公開

「PHP」の開発チームは現地時間2025年7月3日、セキュリティアップデート「PHP 8.4.10」「同8.3.23」「同8.2.29」「同8.1.33」を公開した。利用者にアップデートを呼びかけている。

ブランチによってバグの修正内容などは異なるが、いずれのブランチもCVEベースで3件の脆弱性が解消されている。

具体的には、「PostgreSQL」と連携するための「pgsql拡張モジュール」に脆弱性「CVE-2025-1735」が存在し、エラーチェックの欠如により「SQLインジェクション」や、NULLポインタ参照によるサービス拒否が発生するおそれがある。

「Libxml」の影響により、特定条件下で「SOAP拡張モジュール」においてNULLポインタを参照し、サービス拒否が生じる脆弱性「CVE-2025-6491」が判明。また「fsockopen関数」において、ホスト名の終端処理に脆弱性「CVE-2025-1220」が存在し、「サーバーサイドリクエストフォージェリ(SSRF)」を引き起こすおそれがある。

GitHubにおいて重要度は「CVE-2025-1735」「CVE-2025-6491」が「中(Moderate)」、「CVE-2025-1220」が「低(Low)」とレーティングされている。

開発チームでは、「PHP 8.4.10」「同8.3.23」「同8.2.29」「同8.1.33」をセキュリティリリースと位置づけ、各ブランチの利用者にアップデートを呼びかけている。

(Security NEXT - 2025/07/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

分散ストレージ基盤「NVIDIA AIStore Framework」に脆弱性
Joomla向け機能拡張「iCagenda」「Balbooa Forms」の脆弱性悪用に注意
BeyondTrustのリモートアクセス製品に複数の脆弱性
「GNU Wget」にSSRF脆弱性 - 連携利用環境なども注意
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「IBM WebSphere Application Server」の管理画面に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
SnowflakeのPython向け開発フレームワークに脆弱性
「Cisco ISE」や「RoomOS」に脆弱性 - 7月15日に修正予定