JVNDB-2026-005390

PsySHにおける制御されていない検索パスの要素に関する脆弱性

PsySHはPHP向けのランタイム開発者コンソール、インタラクティブデバッガー、およびREPLです。バージョン0.11.23および0.12.19以前では、PsySHは起動時に現在の作業ディレクトリ（CWD）から`.psysh.php`ファイルを自動的に読み込み、実行します。攻撃者が被害者が後でPsySH起動時にCWDとして使用するディレクトリに書き込み可能な場合、攻撃者は被害者のコンテキストで任意のコード実行を引き起こすことができます。被害者が特権昇格した状態（例：root）でPsySHを実行すると、ローカル特権昇格につながります。これはCWDの設定汚染による問題であり、被害者ユーザーのコンテキストで任意のコードを実行できるようになります。特権ユーザー（例：root、CIランナー、ops/debugアカウント）が攻撃者が書き込み可能なディレクトリをCWDにして、悪意のある`.psysh.php`を含む状態でPsySHを起動すると、攻撃者はその特権ユーザーの権限でコマンドを実行でき、ローカル特権昇格を引き起こします。PsySHを組み込んでいる下流の利用者もこのリスクを受け継ぎます。例えばLaravel Tinker（`php artisan tinker`）はPsySHを使用しています。特権ユーザーが攻撃者書き込み可能なディレクトリにあるシェルからTinkerを実行すると、`.psysh.php`の自動読み込み機能が同じように悪用され、被害者の特権で攻撃者が制御するコードを実行します。バージョン0.11.23および0.12.19でこの問題は修正されています。

PsySH

• PsySH 0.11.23 未満
• PsySH 0.12.0 以上 0.12.19 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Local Privilege Escalation via CWD .psysh.php auto-load  Advisory  bobthecow/psysh  GitHub

1. 制御されていない検索パスの要素(CWE-427) [その他]

1. CVE-2026-25129

1. National Vulnerability Database (NVD) : CVE-2026-25129
2. 関連文書 : Release PsySH v0.12.19  bobthecow/psysh  GitHub
3. 関連文書 : Release PsySH v0.11.23  bobthecow/psysh  GitHub

• [2026年03月02日]
    掲載