JVNDB-2026-006249

Laravel Holdings Inc.のLaravel Reverbにおける信頼できないデータのデシリアライゼーションに関する脆弱性

Laravel ReverbはLaravelアプリケーション向けにリアルタイムWebSocket通信バックエンドを提供します。バージョン1.6.3以前では、ReverbはRedisチャネルからのデータをPHPのunserialize()関数に直接渡しており、どのクラスがインスタンス化されるか制限していなかったため、リモートコード実行の脆弱性がユーザーに影響を与えていました。この脆弱性の悪用可能性は、Redisサーバーが認証なしで一般的に展開されていることにより高まっていますが、水平スケーリングが有効（REVERB_SCALING_ENABLED=true）な場合のLaravel Reverbにのみ影響します。この問題はバージョン1.7.0で修正されました。回避策としては、Redisアクセスに強力なパスワードを要求し、サービスをプライベートネットワークまたはローカルループバックからのみアクセス可能にすること、ならびに環境が単一のReverbノードのみを使用している場合にはREVERB_SCALING_ENABLED=falseに設定して脆弱なロジックを完全に回避することが推奨されます。

Laravel Holdings Inc.

• Laravel Reverb 1.7.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Redis Horizontal Scaling Insecure Deserialization  Advisory  laravel/reverb  GitHub

1. 信頼できないデータのデシリアライゼーション(CWE-502) [その他]

1. CVE-2026-23524

1. National Vulnerability Database (NVD) : CVE-2026-23524
2. 関連文書 : Add allowed classes (#360)  laravel/reverb@9ec26f8  GitHub
3. 関連文書 : Release v1.7.0  laravel/reverb  GitHub
4. 関連文書 : Laravel Reverb | Laravel 12.x - The clean stack for Artisans and agents
5. 関連文書 : CWE -    CWE-502: Deserialization of Untrusted Data (4.19.1)

• [2026年03月09日]
    掲載