JVNDB-2026-019835 | |
guzzlephpのpsr-7における複数の脆弱性 | |
| 概要 | |
guzzlehttp/psr7はPHPでのPSR-7 HTTPメッセージライブラリの実装です。バージョン2.10.2未満では、ASCII制御文字、空白文字、またはDELがファーストパーティのURIホストコンポーネントで拒否されませんでした。脆弱なフローは以下の通りです。まず、アプリケーションはユーザー制御のURLを受け入れます。次に、そのURLを使ってPSR-7の`Uri`または`Request`を構築します。三番目に、ホストコンポーネントにCRLFまたは他のヘッダーに不適切な文字が含まれています。四番目に、明示的な`Host`ヘッダーが提供されていない場合、そのホストがPSR-7の`Host`ヘッダーにコピーされます。最後に、そのリクエストがシリアル化されるか、独立して不正なホストを拒否しないHTTPクライアントによって送信されます。このフローにおいて、攻撃者はシリアル化されたリクエストに追加の攻撃者制御ヘッダー行を含めることが可能です。例えば、ホストに`"\r\nX-Injected: yes"`が含まれていると、生成された`Host`ヘッダーが複数行のHTTPヘッダーになる場合があります。ユーザー制御のURLを外向きHTTPリクエスト、URL転送、プロキシ、クローリング、Webhook配信または同様のリクエストディスパッチフローで使用するアプリケーションが影響を受けます。HTTP/1.1接続の再利用、プロキシ、ゲートウェイ、ロードバランサーを含む展開では、解析方法によって、下流のコンポーネントでリクエストスマグリングやキャッシュポイズニングが発生する可能性もあります。この問題は`2.10.2`以降で修正されています。`1.x`はサポート終了しており、パッチは提供されません。回避策として、PSR-7の`Uri`や`Request`インスタンスを構築する前に、すべての信頼できないURI文字列を検証し、ASCII制御文字、空白文字、DEL(CRLF、タブ、スペース、NUL、DEL文字を含む)を含む入力を拒否してください。リクエストを転送するアプリケーションは、最終的なHTTPクライアントまたはシリアライザが無効なURIとヘッダーデータを拒否してからネットワークに書き込むことを保証する必要があります。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [その他]
| |
| 影響を受けるシステム | |
|
| |
guzzlephp | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/06/11 |
| 登録日 | 2026/06/16 |
| 最終更新日 | 2026/06/16 |
