PHP 8.3.x < 8.3.32の複数の脆弱性

medium Web App Scanning プラグイン ID 115287

概要

PHP 8.3.x < 8.3.32の複数の脆弱性

説明

自己報告されたバージョン番号によると、リモートホストにインストールされている PHP のバージョンは、8.2.328.2.x より前、8.3.x より前、8.3.32より前、8.4.x8.4.23、または 8.5.8 より前の 8.5.x です。そのため、以下の複数の脆弱性の影響を受けます。

- OpenSSL 拡張に、AES-WRAP-PAD 暗号を使用する際の openssl_encrypt() の不適切なバッファ割り当てによるヒープバッファオーバーフローの脆弱性が存在します。これにより、OpenSSL が過去に割り当てられたヒープメモリを書き込み、ヒープ破損またはアプリケーションのクラッシュを引き起こします。(CVE-2026-14355)

- プロキシを構成して HTTPS URL をフェッチする際の file_get_contents() の Streams 拡張にセグメンテーション違反の脆弱性が存在します。(CVE-2026-12184)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

PHP バージョン 8.3.32 以降にアップグレードしてください。

参考資料

https://www.php.net/ChangeLog-8.php#8.3.32

プラグインの詳細

深刻度: Medium

ID: 115287

タイプ: Version Based

ファミリー: Component Vulnerability

公開日: 2026/7/13

更新日: 2026/7/13

スキャン テンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: Low

スコア: 3

パーセンタイル: 23.8

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2026-14355

CVSS v3

リスクファクター: Medium

基本値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVSS スコアのソース: CVE-2026-12184

脆弱性情報

CPE: cpe:2.3:a:php:php:*:*:*:*:*:*:*:*

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2026/7/1

参照情報

CVE: CVE-2026-12184, CVE-2026-14355