JVNDB-2026-005964 | |
Debian等の複数ベンダの製品における信頼できないデータのデシリアライゼーションに関する脆弱性 | |
| 概要 | |
PHPUnitはPHP用のテストフレームワークです。バージョン12.5.8、11.5.50、10.5.62、9.6.33、および8.5.52より前のバージョンには、PHPTテスト実行時のコードカバレッジデータの安全でないデシリアライズに関する脆弱性が発見されました。この脆弱性は`cleanupForCoverage()`メソッドに存在し、コードカバレッジファイルを検証なしにデシリアライズするため、悪意のある`.coverage`ファイルがPHPTテスト実行前に存在するとリモートコード実行の可能性があります。この脆弱性は、本来テスト実行前に存在すべきでない`.coverage`ファイルが`allowed_classes`パラメータ制限なしにデシリアライズされることで発生します。ローカルファイル書き込み権限を持つ攻撃者は、`__wakeup()`メソッドを持つ悪意のある直列化オブジェクトをファイルシステムに配置でき、コードカバレッジ計測を有効にしたテスト実行時に任意のコードを実行させることが可能です。この脆弱性を悪用するためには、PHPTテスト用のコードカバレッジファイルを保存または期待する場所へのローカルファイル書き込みアクセスが必要です。これはCI/CDパイプライン攻撃、ローカル開発環境、および/または侵害された依存関係を通じて発生する可能性があります。メンテナは、単に`['allowed_classes' = false]`によって入力を静かに無害化するのではなく、PHPTテスト用の既存の`.coverage`ファイルの異常状態を明示的なエラー条件として扱うことを選択しました。バージョン12.5.8、11.5.50、10.5.62、9.6.33以降では、PHPTテスト実行前に`.coverage`ファイルが検出されると、PHPUnitは異常状態を明確に示すエラーメッセージを出力します。組織は、エフェメラルランナー、コードレビュー強制、ブランチ保護、アーティファクト分離、およびアクセス制御を含む適切なCI/CD設定によって、この脆弱性の実質的なリスクを低減できます。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 7.8 (重要) [その他]
| |
| 影響を受けるシステム | |
|
| |
Debian | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
Debian | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/01/27 |
| 登録日 | 2026/03/05 |
| 最終更新日 | 2026/03/05 |
