Skip to main content

PHP 8.2.31リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス(PHP 5.4〜8.1対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 8.1のメンテナンス期間は2025年12月のリリースで終了しました。今後、PHP 8.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

 

07 May 2026, PHP 8.2.31

=================================================================================
- Curl:
 . Add support for brotli and zstd on Windows. (Shivam Mathur)

■ 脆弱性修正ではありません。


=================================================================================
- FPM:
 . Fixed GHSA-7qg2-v9fj-4mwv (XSS within status endpoint). (CVE-2026-6735)
   (Jakub Zelenka)

■ JSON形式のステータスレポートのインジェクション脆弱性

■ 影響バージョン
PHP 5.4以降

■ 互換性問題
特になし。

■ 解説
JSON形式のステータスレポートの実装にJavaScript文字列エスケープが使用されていなかった為、外部ソース由来のステータス情報を使ったJavaScriptやHTMLインジェクションが可能となる。


=================================================================================
- MBString:
 . Fixed GHSA-wm6j-2649-pv75 (Null pointer dereference in
   php_mb_check_encoding() via mb_ereg_search_init()). (CVE-2026-7259)
   (vi3tL0u1s)

■ mbstringのmbflとmbregexのOnigurumaではサポートする文字エンコーディングが異なり、意図しないヌルポインター参照が発生する。

■ 影響バージョン
PHP 4以降(mbregexをサポートする全てのPHP)

■ 互換性問題
特になし。
ただし、互換性のない文字エンコーディングを指定するとエラーとなり全く動作しない。パッチ前は動作
はするば文字エンコーディングが壊れるなどの問題がある。

■ 解説
mbflとOnigurumaではサポートする文字エンコーディングが異るため、互換性がない文字エンコーディングを指定すると正常に動作しない。ヌルポインター参照は問題の一つに過ぎない。文字エンコーディングが壊れる
為、壊れた文字エンコーディングを利用したインジェクション攻撃に利用される可能性がある。


=================================================================================
- OpenSSL:
 . Fix compatibility issues with OpenSSL 4.0. (jordikroon, Remi)

■ 脆弱性修正ではありません。

=================================================================================
- PDO_Firebird:
 . Fixed GHSA-w476-322c-wpvm (SQL injection via NUL bytes in quoted strings).
   (CVE-2025-14179) (SakiTakamachi)

■ FirebirdのSQL文字列エスケープ関数がヌル文字を考慮していない

■ 影響バージョン
PHP 4以降(Firebirdをサポートする全てのPHP)

■ 互換性問題
特になし。

■ 解説
エスケープ対象のデータ中のヌル文字を考慮せずにエスケープする為、パラメーターをSQL文の分離が不完全となりSQLインジェクション攻撃が可能となる場合がある。


=================================================================================
- SOAP:
 . Fixed GHSA-85c2-q967-79q5 (Stale SOAP_GLOBAL(ref_map) pointer with Apache
   Map). (CVE-2026-6722) (ilutov)
 . Fixed GHSA-m33r-qmcv-p97q (Use-after-free after header parsing failure with
   SOAP_PERSISTENCE_SESSION). (CVE-2026-7261) (ilutov)
 . Fixed GHSA-hmxp-6pc4-f3vv (Broken Apache map value NULL check).
   (CVE-2026-7262) (ilutov)

■ メモリ管理の問題によりRCE、情報漏洩、DoS攻撃が可能となる。

■ 影響バージョン
少なくともPHP 5.4以降

■ 互換性問題
特になし。

■ 解説
PHP内部でリファレンスカウントの増加を忘れていたため解放済みメモリへのアクセスを許しリモートコード実行(RCE)が可能となる。CVE-2026-6722には特に前提条件はない。CVE-2026-7261にはSOAP_PERSISTENCE_SESSIONオプションが有効化されている必要がある。CVE-2026-7262はヌルポインターへの参照を許す為、DoS攻撃が可能となる。

=================================================================================
- Standard:
 . Fixed GHSA-96wq-48vp-hh57 (Signed integer overflow of char array offset).
   (CVE-2026-7568) (TimWolla)
 . Fixed GHSA-m8rr-4c36-8gq4 (Consistently pass unsigned char to ctype.h
   functions). (CVE-2026-7258) (ilutov)

■ 不正メモリアクセスによるDoS

■ 影響バージョン
全てのPHP
(CVE-2026-7258はctype.hのcharが符号ありのNetBSDなどで発生)

■ 互換性問題
特になし。

■ 解説
metaphone() は、文字列の「英語での発音の類似性」を計算してコード化する関数です。この内部実装(ext/standard/metaphone.c)において、入力された文字列の「現在の解析位置(オフセット)」を追跡するために signed int(符号付き32bit整数) 型の変数が使われていた。このため2GB以上のデータで整数オーバーフローが発生し領域外メモリアクセスが発生する。

char型がデフォルトで符号付きプラットフォームでurlencodeなど、多数の文字列操作関数で予期しない不正メモリアクセスが発する。

PHPセキュリティ延長保守サービスでは全てのサポートバージョンのchar型の符号を見直し修正していため、元のパッチより広範囲に修正している。