JVNDB-2025-024533

Sensio LabsのHttpFoundation等の複数製品における認可判断のための非正規化 URL パスの使用に関する脆弱性

Symfonyはウェブおよびコンソールアプリケーション向けのPHPフレームワークであり、再利用可能なPHPコンポーネントのセットを提供しています。SymfonyのHttpFoundationコンポーネントはHTTP仕様のためのオブジェクト指向レイヤーを定義しています。バージョン2.0.0から5.4.50、6.4.29、および7.3.7より前のバージョンでは、`Request`クラスが一部の`PATH_INFO`を不適切に解釈し、パスが`/`で始まらないURLを表現してしまうことがありました。これにより、`/`で始まるという前提で構築された一部のアクセス制御ルールを回避できる可能性がありました。バージョン5.4.50、6.4.29、および7.3.7以降では、`Request`クラスはURLパスが常に`/`で始まることを保証するように改善されています。

Sensio Labs

• HttpFoundation 2.0.0 以上 5.4.50 未満
• HttpFoundation 6.0.0 以上 6.4.29 未満
• HttpFoundation 7.0.0 以上 7.3.7 未満
• Symfony 2.0.0 以上 5.4.50 未満
• Symfony 6.0.0 以上 6.4.29 未満
• Symfony 7.0.0 以上 7.3.7 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : security-advisories/symfony/http-foundation/CVE-2025-64500.yaml at master  FriendsOfPHP/security-advisories  GitHub
• GitHub Advisory Database : security-advisories/symfony/symfony/CVE-2025-64500.yaml at master  FriendsOfPHP/security-advisories  GitHub
• GitHub Advisory Database : Incorrect parsing of PATH_INFO can lead to limited authorization bypass  Advisory  symfony/symfony  GitHub

symfony

• Symfony : CVE-2025-64500: Incorrect parsing of PATH_INFO can lead to limited authorization bypass (Symfony Blog)

1. 認可判断のための非正規化 URL パスの使用(CWE-647) [その他]

1. CVE-2025-64500

1. National Vulnerability Database (NVD) : CVE-2025-64500
2. 関連文書 : [HttpFoundation] Fix parsing pathinfo with no leading slash  symfony/symfony@9962b91  GitHub

• [2026年01月14日]
    掲載