【2025年9月版】PHP5.5の脆弱性情報一覧

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、PHP5.5の脆弱性情報一覧をまとめたものであり、2025年9月22日に改訂しています。

PHPとはWebサイトやアプリを開発する際に広く採用されているプログラミング言語であり、Webサーバー上で動いてプログラムを実行するサーバーサイドスクリプト言語に分類されます。
このPHPは、WordPressを始めとする主要なCMS（コンテンツ・マネジメント・システム）の多くがPHPで開発されていることから、Webサイトを運用する皆さんにとっても重要な言語と言えるでしょう。

最新のPHPのバージョンは8.4系統であり、2025年9月22日現在、PHPの公式がセキュリティサポートをしているバージョンは、8.1、8.2、8.3、8.4の4系統のみです。

一方で、PHP5.5については、2016年7月10日に公式のセキュリティサポートが終了していますが、稀に使用されているケースを見かけます。

そこで、この記事ではPHP5.5の脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているPHP5.5の脆弱性を簡単に把握できるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

・PHP5.5系統に関するポイント
・PHP5.5系統の脆弱性情報
・PHPのバージョンアップに強いWeb制作会社をお探しの場合にはご相談ください

PHP5.5系統に関するポイント

・PHP5.5のリリース日は、2013年6月20日です。

・PHP5.5のアクティブサポート期間は、2015年7月10日に終了しています。

・PHP5.5のセキュリティサポート期間は、2016年7月21日に終了しています。
　※セキュリティサポート終了期限については、PHP公式サイトのUnsupported Branchesを参照してください。

・PHP5.5の最終バージョンは5.5.38で、2016年7月21日にリリースされています。
※更新の詳細はPHP公式サイトのChangelogを参照してください。

・ご使用になられているPHPのバージョンが5.5.xの場合には、緊急レベルの脆弱性が存在する可能性があります。

PHP5.5系統の脆弱性情報

PHP5.5については、仮に使用されていたとしても、2016年7月21日にリリースされた最終バージョンである5.5.38を使用されていると思います。
その為、EOL以降に報告されたPHPコアに関する脆弱性で、当社が把握しているものを掲載します。

脆弱性情報	深刻度	影響を受けるバージョン	修正されたバージョン
CVE-2019-9024 JVNDB-2019-002023	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2019-9023 JVNDB-2019-002022	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2019-9021 JVNDB-2019-002020	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2019-9020 JVNDB-2019-002019	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2019-6977 JVNDB-2019-001696	CVSS v3 8.8 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-20783 JVNDB-2018-014585	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-19396 JVNDB-2018-012884	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-19395 JVNDB-2018-012643	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-17082 JVNDB-2018-010197	CVSS v3 6.1 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-15132 JVNDB-2018-009254	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-14883 JVNDB-2018-008809	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-14851 JVNDB-2018-008805	CVSS v3 5.5 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-10549 JVNDB-2018-004563	CVSS v3 8.8 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-10548 JVNDB-2018-004562	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-10547 JVNDB-2018-004526	CVSS v3 6.1 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-10546 JVNDB-2018-004561	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-10545 JVNDB-2018-004560	CVSS v3 4.7 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-7584 JVNDB-2018-002490	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-5712 JVNDB-2018-001489	CVSS v3 6.1 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2018-5711 JVNDB-2018-001488	CVSS v3 5.5 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-12933 JVNDB-2017-007250	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-16642 JVNDB-2017-010117	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-11628 JVNDB-2017-006828	CVSS v3 7.8 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-11147 JVNDB-2017-005631	CVSS v3 9.1 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-11145 JVNDB-2017-005647	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-11144 JVNDB-2017-005646	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-11143 JVNDB-2017-005556	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-11142 JVNDB-2017-005645	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-8923 JVNDB-2017-004167	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-7963 JVNDB-2017-003417	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-7890 JVNDB-2017-006902	CVSS v3 6.5 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2017-7272 JVNDB-2017-002746	CVSS v3 7.4 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-10397 JVNDB-2016-008718	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-10161 JVNDB-2016-007030	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-10160 JVNDB-2016-007029	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-10159 JVNDB-2016-007028	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-10158 JVNDB-2016-007027	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-9935 JVNDB-2016-006616	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-9934 JVNDB-2016-006615	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-9933 JVNDB-2016-006614	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-9138 JVNDB-2016-006613	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-9137 JVNDB-2016-006612	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7478 JVNDB-2016-006698	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7418 JVNDB-2016-004789	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7417 JVNDB-2016-004788	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7416 JVNDB-2016-004787	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7414 JVNDB-2016-004786	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7413 JVNDB-2016-004785	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7412 JVNDB-2016-004784	CVSS v3 8.1 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7411 JVNDB-2016-004783	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7132 JVNDB-2016-004627	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7131 JVNDB-2016-004626	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7130 JVNDB-2016-004625	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7129 JVNDB-2016-004624	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7128 JVNDB-2016-004623	CVSS v3 5.3 (警告)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7127 JVNDB-2016-004622	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7126 JVNDB-2016-004621	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7125 JVNDB-2016-004620	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-7124 JVNDB-2016-004619	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2016-5385 JVNDB-2016-003800	CVSS v3 8.1 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2015-8994 JVNDB-2015-007401	CVSS v3 7.5 (重要)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応
CVE-2015-4601 JVNDB-2015-007151	CVSS v3 9.8 (緊急)	PHP 5.5系統の全てのバージョン	PHP 5.5系統では未対応

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※CVEやNVD、JVNでは、EOL版のバージョンについては列挙義務がないという運用をなされています。その為、例えば影響範囲に「PHP before 7.x.x」のように記載されていた場合、PHP 5.5.xにも影響がある可能性があります。しかしながら、EOL以降のバージョンについては検証されないことも多く、全てを当社で検証することはリソース上困難です。その為、上記脆弱性情報については、CVE、NVD、JVNなどでPHP 5.5.xが影響範囲に含まれると明記されているものと、明記はされておらずとも「PHP before 5.x.x」と記載されていることで、含まれていると解釈することが合理的であるものだけを掲載しております。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

PHPのバージョンアップに強いWeb制作会社をお探しの場合にはご相談ください

PHP5.5から最新バージョンへのバージョンアップについては、メジャーバージョンが2段階以上変わることから、Webアプリケーション側に不具合が発生する確率が非常に高く、かなりの工数がかかることが予想されます。
この場合、不具合の原因を特定し、これを改修できる専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側（WebサイトやCMS等）を専門としていますので、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されている企業であり、PHP、MySQL、MariaDBについても知見を有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

WebサイトおよびWebシステムにおけるPHPバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問合せください。