JVNDB-2026-021226 | |
guzzlephpのguzzleにおける複数の脆弱性 | |
| 概要 | |
Guzzleは拡張可能なPHP HTTPクライアントです。7.12.1以前の特定の設定では、プロキシへのホップでTLSにより保護されることが期待されるトラフィックが平文で送信されてしまいます。プロキシ認証情報(Proxy-Authorizationヘッダー、プロキシURL内のプロキシユーザー情報、またはCURLOPT_PROXYUSERPWD)は暗号化されることなく送信され、トンネル化されたHTTPSリクエストのCONNECTターゲットホストとポートが露出します。組み込みのcURLハンドラー(GuzzleHttp\Handler\CurlHandlerおよびGuzzleHttp\Handler\CurlMultiHandler、PHPのcURL拡張が利用可能な場合にデフォルトで使用される)はhttps://プロキシを受け入れますが、7.50.2より古いlibcurlはhttps://プロキシを平文のhttp://プロキシとして静かに扱います。プロキシへのTLS接続は確立されず、その結果プロキシ側の通信は警告やエラーなしに平文で行われます。アプリケーションはこれらの組み込みcURLハンドラーのいずれかを通してリクエストを送信し、プロキシ接続自体の暗号化を期待してhttps://プロキシを設定し、7.50.2より古いlibcurlで実行される場合に影響を受けます。この脆弱性は7.12.1で修正されました。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 5.9 (警告) [その他]
| |
| 影響を受けるシステム | |
|
| |
guzzlephp | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/06/23 |
| 登録日 | 2026/06/29 |
| 最終更新日 | 2026/06/29 |



