JVNDB-2026-019836 | |
guzzlephpのpsr-7における複数の脆弱性 | |
| 概要 | |
guzzlehttp/psr7はPHPで実装されたPSR-7 HTTPメッセージライブラリです。バージョン2.10.2未満には、生のHTTPリクエストメッセージを解析する際およびサーバ変数からサーバリクエストURIを導出する際に、Hostヘッダーの不適切な検証があります。攻撃者は`trusted.example@evil.example`のようなURI権限区切り文字を含む不正なHostヘッダーを提供できます。Host値がURIの構築に使用されると、この不正な値はURIのuserinfoおよびhostとして誤解釈される可能性があります。これにより、PSR-7リクエストURIのホストが元のHostヘッダー値と異なる場合があります。`GuzzleHttp\Psr7\Message::parseRequest()`やレガシーな1.xの`GuzzleHttp\Psr7\parse_request()`関数で攻撃者制御の生HTTPリクエストを解析する場合、または攻撃者制御のサーバ変数からサーバリクエストを構築し、その得られたURIホストをルーティング、許可リストチェック、転送判断に用いるアプリケーションが影響を受けます。影響を受ける転送やゲートウェイのシナリオでは、リクエストや認証情報が意図しないホストへ送信される可能性があります。この問題はバージョン2.10.2で修正されました。1.xはサポート終了済みで修正パッチは提供されません。一部の回避策として、不正なHTTPリクエストデータに対して`Message::parseRequest()`やレガシー`parse_request()`の呼び出し前、または解析済みのリクエストURIからルーティングや転送判断を行う前に、Hostヘッダーを`uri-host [ ":" port ]`形式として検証し、userinfo、パス、クエリ、フラグメントの区切り文字を含むHost値を拒否してください。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [その他]
| |
| 影響を受けるシステム | |
|
| |
guzzlephp | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/06/11 |
| 登録日 | 2026/06/16 |
| 最終更新日 | 2026/06/16 |
