【2024年11月版】Laravelのバージョン情報とサポート期限

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は2024年11月22日に執筆しています。

今回はLaravel(ララベル)のバージョン情報とサポート期限についてまとめてみたいと思います。

LaravelはLaravel LLCがサポートを継続している、オープンソースのPHPによるWebアプリケーションフレームワークです。

PHP自体も人気のプログラム言語ですが、Laravelはそのフレームワークとして非常に高い評価を得ています(Web制作の現場にいる感覚としてもそうですが、2023年12月に行われたPeerSpotによるPHPフレームワークの市場動向調査でも評価1位となっています)。

実は、フレームワークにも脆弱性が見つかります。
そのため、安全で円滑なWebサイトの運用のためには、Laravelについても最新バージョンへのアップデートが欠かせません。

この記事では、企業のWeb担当者の皆様に向けて、Laravelのバージョン情報とサポート期限についてまとめた上で、Laravelの脆弱性についてもご紹介したいと思います。

少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。

Laravelのバージョン情報に関するポイント

Laravel(ララベル)のバージョンには、通常版とLTS版(Long Term Support)の2種類があります。

2024年11月22日現在、Laravelの最新バージョンは11系統であり、公式がセキュリティサポートをしているバージョンは10系統と11系統のみです。

Laravelのバージョンが8以下の場合には、緊急レベルの脆弱性が存在する可能性があります。

Laravelのリリース日とサポート期限

バグフィックスとは、セキュリティパッチの提供はもちろんのこと、軽微な不具合の修正も提供される期間です。
Laravelのバグフィックスには、新機能の追加やAPIの大幅な変更は含まれません。

セキュリティフィックスは、セキュリティパッチが提供される期間のことを指します。
バグフィックス期間が終了後、セキュリティフィックス期間終了までの間は、基本的に重大な脆弱性に関するパッチのみが提供されます。

Laravel通常版のサポート期間は、バグフィックスはリリース日から18ヵ月間、セキュリティフィックスはリリース日から2年間となっています。

これに対し、Laravel LTS版のサポート期間は、バグフィックスはリリース日から2年間、セキュリティフィックスはリリース日から3年間となっています。

Laravelの各バージョンについてのリリース日とサポート期限は次の通りです。

2025年2月4日に、Laravel 10におけるセキュリティフィックス期限が到来しますので、Laravel 11系統最新版へのアップデートを推奨いたします。

なお、2024年11月12日に採番されたCVE-2024-52301(CVSSv4 8.7)に対応するために、セキュリティフィックス期限終了後のバージョンについても、バージョン6までにはパッチが提供されています。
詳細は、GitHubのアドバイザリーデータベースをご確認ください。

古いバージョンをご利用の場合でも、バージョンアップを実施してください。

Laravelのバージョン リリース日 バグフィックス期限 セキュリティフィックス期限 最新バージョン
11 2024年3月12日 2025年9月3日 2026年3月12日 11.33.2
10 2023年2月14日 2024年8月6日 2025年2月4日 10.48.23
9 2022年2月8日 2023年8月8日 2024年2月6日 9.52.17
8 2020年9月8日 2022年7月26日 2023年1月24日 8.83.28
7 2020年3月3日 2020年10月6日 2021年3月3日 7.30.7
6 (LTS) 2019年9月3日 2022年9月6日 2022年9月6日 6.20.45

※グレーのバージョンはセキュリティサポートが終了しています。
※Laravel 6 未満については5年以上古いバージョンであるため割愛しております。もし6未満のバージョンをお使いの場合でサポート期限をお知りになりたい場合や、使用になられているバージョンが分からない場合などはこちらのお問合せよりご相談ください。

Laravelの脆弱性情報

上記で記載したLaravel 6からLaravel 11に影響を与える脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン

CVE-2024-52301
CVE-2024-52301 Detail

CVSS v4
8.7 (緊急)
・Laravel 11.0.0から11.30.0
・Laravel 10.0.0から10.48.22
・Laravel 9.0.0から9.52.16
・Laravel 8.0.0から8.83.27
・Laravel 7.0.0から7.30.6
・Laravel 6.0.0から6.20.44
・Laravel 11.31.0
・Laravel 10.48.23
・Laravel 9.52.17
・Laravel 8.83.28
・Laravel 7.30.7
・Laravel 6.20.45

CVE-2022-40482
JVNDB-2022-024129

CVSS v3
5.3 (警告)
・Laravel 8.0.0から9.31.0 Laravel 9.32.0

CVE-2021-28254
JVNDB-2021-020626

CVSS v3
9.8 (緊急)
・Laravel 8.5.9 Laravel 8.5.10

CVE-2021-43808
JVNDB-2021-015896

CVSS v3
6.1 (警告)
・Laravel 8.0.0から8.74.0
・Laravel 7.0.0から7.30.5
・Laravel 6.0.0から6.20.41
Laravel 8.75.0
Laravel 7.30.6
Laravel 6.20.42

CVE-2021-43617
JVNDB-2021-015152

CVSS v3
9.8 (緊急)
・Laravel 8.70.2までの全てのバージョン Laravel 8.71.0

CVE-2021-21263
JVNDB-2021-002929

CVSS v3
5.3 (警告)
・Laravel 8.0.0から8.22.0
・Laravel 7.0.0から7.30.1
・Laravel 6.0.0から6.20.10
Laravel 8.22.1
Laravel 7.30.2
Laravel 6.20.11

CVE-2020-24941
JVNDB-2020-010784

CVSS v3
7.5 (緊急)
・Laravel 7.0.0から7.23.2
・Laravel 6.18.34までの全てのバージョン
Laravel 7.24.0
Laravel 6.18.35

CVE-2020-24940
JVNDB-2020-010783

CVSS v3
7.5 (緊急)
・Laravel 7.0.0から7.23.1
・Laravel 6.18.33までの全てのバージョン
Laravel 7.23.2
Laravel 6.18.34

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。前述のように、本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、注意(0.1~3.9)の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。ただし、NVDでスコアリングがされていない場合には、GitHub, Inc.などのスコアを記載しています。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Laravelの各バージョンに対応するPHPバージョンと脆弱性情報

Laravelは、PHPで開発されているため、PHPの脆弱性にも影響を受けます。
そこで、Laravelの各バージョンと対応するPHPバージョン、その脆弱性情報へのリンクを掲載しておきます。

Laravelの
バージョン
対応するPHPバージョン PHPの脆弱性情報一覧へのリンク
11 PHP 8.2 - 8.3

PHP8.xの脆弱性情報一覧
PHP7.4の脆弱性情報一覧
PHP7.3の脆弱性情報一覧
PHP7.2の脆弱性情報一覧

10 PHP 8.1 - 8.3
9 PHP 8.0 - 8.2
8 PHP 7.3 - 8.1
7 PHP 7.2 - 8.0
6 (LTS) PHP 7.2 – 7.4

※グレーのバージョンはPHPのセキュリティサポートが終了しています。

Laravelのバージョンアップを継続する体制について

LaravelはPHPのフレームワークとして評価1位とされており、大手企業であってもLaravelを利用しているケースが多いのが現状です。

しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイト・Webシステムの数が増え、あるいはWebサイト等の規模が大きくなるにつれて社内での対応が困難になることがあります。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されている企業であり、Laravel、PHPを得意としています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Laravelでの開発やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。