【2024年9月版】PHP5.6の脆弱性情報一覧

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月20日に執筆しています。

今回はPHP5.6の脆弱性情報一覧を公開してみたいと思います。

PHPとはWebサイトやアプリを開発する際に広く採用されているプログラミング言語であり、Webサーバー上で動いてプログラムを実行するサーバーサイドスクリプト言語に分類されます。
このPHPは、WordPressを始めとする主要なCMS(コンテンツ・マネジメント・システム)の多くがPHPで開発されていることから、Webサイトを運用する皆さんにとっても重要な言語と言えるでしょう。

安全で円滑なWebサイトの運用のためには、PHPを最新バージョンへとアップデートする必要があります。
一方で、PHP5.6については、2018年12月31日に公式のセキュリティサポートが終了していますが、Webサイトの現場では稀にいまだ使用されているケースを見かけます。

そこで、この記事ではPHP5.6の脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているPHP5.6の脆弱性を簡単に把握できるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。

PHP5.6系統の脆弱性に関するポイント

最新のPHPのバージョンは8.3系統です。

2024年9月現在、PHPの公式がセキュリティサポートをしているバージョンは、8.1, 8.2, 8.3 の3系統のみです。

ご使用になられているPHP5.6.xの場合には、緊急レベルの脆弱性が存在する可能性があります。

本記事の脆弱性情報は、深刻度が緊急(9.0~10.0)のものを掲載しています。

PHP5.6系統の脆弱性情報

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン

CVE-2024-4577
JVNDB-2024-003292

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP8.1.29
PHP5.6系統では未対応

CVE-2019-9023
JVNDB-2019-002022

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.39 PHP5.6.40

CVE-2019-9021
JVNDB-2019-002020

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.39 PHP5.6.40

CVE-2019-9020
JVNDB-2019-002019

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.39 PHP5.6.40

CVE-2018-7584
JVNDB-2018-002490

CVSS v3
9.8 (緊急)
PHP5.6.から5.6.33 PHP5.6.34

CVE-2017-12933
JVNDB-2017-007250

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.30 PHP5.6.31

CVE-2017-11147
JVNDB-2017-005631

CVSS v3
9.1 (緊急)
PHP5.6.0から5.6.29 PHP5.6.30

CVE-2017-8923
JVNDB-2017-004167

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.1.6
PHP5.6系統では未対応

CVE-2017-5340
JVNDB-2017-001055

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.0.15
PHP5.6系統では未対応

CVE-2016-10160
JVNDB-2016-007029

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.29 PHP5.6.30

CVE-2016-9935
JVNDB-2016-006616

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.28 PHP5.6.29

CVE-2016-9138
JVNDB-2016-006613

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.27 PHP5.6.28

CVE-2016-9137
JVNDB-2016-006612

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.26 PHP5.6.27

CVE-2016-7417
JVNDB-2016-004788

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.25 PHP5.6.26

CVE-2016-7414
JVNDB-2016-004786

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.25 PHP5.6.26

CVE-2016-7413
JVNDB-2016-004785

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.25 PHP5.6.26

CVE-2016-7411
JVNDB-2016-004783

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.25 PHP5.6.26

CVE-2016-7129
JVNDB-2016-004624

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.24 PHP5.6.25

CVE-2016-7127
JVNDB-2016-004622

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.24 PHP5.6.25

CVE-2016-7126
JVNDB-2016-004621

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.24 PHP5.6.25

CVE-2016-7124
JVNDB-2016-004619

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.24 PHP5.6.25

CVE-2016-6296
JVNDB-2016-004086

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.23 PHP5.6.24

CVE-2016-6295
JVNDB-2016-004092

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.23 PHP5.6.24

CVE-2016-6294
JVNDB-2016-004091

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.23 PHP5.6.24

CVE-2016-6291
JVNDB-2016-004088

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.23 PHP5.6.24

CVE-2016-6290
JVNDB-2016-004085

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.23 PHP5.6.24

CVE-2016-5773
JVNDB-2016-004357

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.22 PHP5.6.23

CVE-2016-5772
JVNDB-2016-004356

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.22 PHP5.6.23

CVE-2016-5771
JVNDB-2016-004355

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.22 PHP5.6.23

CVE-2016-5770
JVNDB-2016-004354

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.22 PHP5.6.23

CVE-2016-5769
JVNDB-2016-004353

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.22 PHP5.6.23

CVE-2016-5768
JVNDB-2016-004352

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.22 PHP5.6.23

CVE-2016-5114
JVNDB-2016-004348

CVSS v3
9.1 (緊急)
PHP5.6.0から5.6.16 PHP5.6.17

CVE-2016-5096
JVNDB-2016-004354

CVSS v3
9.1 (緊急)
PHP5.6.0から5.6.22 PHP5.6.23

CVE-2016-4544
JVNDB-2016-002918

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4543
JVNDB-2016-002917

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4542
JVNDB-2016-002916

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4541
JVNDB-2016-002915

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4540
JVNDB-2016-002914

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4539
JVNDB-2016-002871

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4538
JVNDB-2016-002870

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4537
JVNDB-2016-002869

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.20 PHP5.6.21

CVE-2016-4473
JVNDB-2016-008659

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.0.8
PHP5.6系統では未対応

CVE-2016-4346
JVNDB-2016-002868

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.0.4
PHP5.6系統では未対応

CVE-2016-4345
JVNDB-2016-002867

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.0.4
PHP5.6系統では未対応

CVE-2016-4344
JVNDB-2016-002866

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.0.4
PHP5.6系統では未対応

CVE-2016-4073
JVNDB-2016-002863

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.19 PHP5.6.20

CVE-2016-4072
JVNDB-2016-002853

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.19 PHP5.6.20

CVE-2016-4071
JVNDB-2016-002854

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.19 PHP5.6.20

CVE-2016-3078
JVNDB-2016-004192

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.0.6
PHP5.6系統では未対応

CVE-2016-2554
JVNDB-2016-002770

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.17 PHP5.6.18

CVE-2015-8880
JVNDB-2015-007182

CVSS v3
9.8 (緊急)
PHP 5.6系統の全てのバージョン PHP7.0.1
PHP5.6系統では未対応

CVE-2015-8876
JVNDB-2015-007178

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.11 PHP5.6.12

CVE-2015-8866
JVNDB-2015-007176

CVSS v3
9.6 (緊急)
PHP5.6.0から5.6.5 PHP5.6.6

CVE-2015-8835
JVNDB-2015-007164

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.11 PHP5.6.12

CVE-2015-6835
JVNDB-2015-007161

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.12 PHP5.6.13

CVE-2015-6834
JVNDB-2015-007157

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.12 PHP5.6.13

CVE-2015-5589
JVNDB-2015-007160

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.10 PHP5.6.11

CVE-2015-4643
JVNDB-2015-007155

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.9 PHP5.6.10

CVE-2015-4642
CVE-2015-4642 Detail

CVSS v3
9.8 (緊急)
PHP(Windows)5.6.0から5.6.9 PHP5.6.10

CVE-2015-4603
JVNDB-2015-007153

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.7 PHP5.6.8

CVE-2015-4602
JVNDB-2015-007152

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.7 PHP5.6.8

CVE-2015-4601
JVNDB-2015-007151

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.6 PHP5.6.7

CVE-2015-4600
JVNDB-2015-007150

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.7 PHP5.6.8

CVE-2015-4599
JVNDB-2015-007149

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.7 PHP5.6.8

CVE-2015-4116
JVNDB-2015-007147

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.10 PHP5.6.11

CVE-2016-3141
JVNDB-2016-001928

CVSS v3
9.8 (緊急)
PHP5.6.0から5.6.18 PHP5.6.19

CVE-2016-1903
JVNDB-2016-001309

CVSS v3
9.1 (緊急)
PHP5.6.0から5.6.16 PHP5.6.17

CVE-2014-3622
JVNDB-2014-008919

CVSS v3
9.8 (緊急)
PHP5.6.0 PHP5.6.1

本記事における脆弱性情報のルール

・脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。

・深刻度については、共通脆弱性評価システムCVSS v3に基づいています。
前述のように、本記事では、CVSS v3にて緊急(9.0~10.0)に区分されるもののみを掲載しており、重要(7.0~8.9)、警告(4.0~6.9)ないし注意(0.1~3.9)の情報については、JVN iPediaなどでご確認ください。

・深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulunerability Database(以下「NVD」)に準拠しています。

・原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。

・本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。

・本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

PHPのバージョンアップに強いWeb制作会社をお探しの場合にはご相談ください。

PHP5.6から最新バージョンへのバージョンアップについては、メジャーバージョンが2段階以上変わることから、Webアプリケーション側に不具合が発生する確率が非常に高いと考えられます。
この場合、不具合の原因を特定し、これを改修できる専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側(WebサイトやCMS等)を専門としていますので、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。

WebサイトおよびWebシステムにおけるPHPバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問い合わせください。

当社に関して

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。