【2026年2月版】PHP5.4の脆弱性情報一覧

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、PHP 5.4の脆弱性情報一覧をまとめたものであり、2026年2月10日に改訂しています。

PHPとはWebサイトやアプリを開発する際に広く採用されているプログラミング言語であり、Webサーバー上で動いてプログラムを実行するサーバーサイドスクリプト言語に分類されます。
このPHPは、WordPressを始めとする主要なCMS（コンテンツ・マネジメント・システム）の多くがPHPで開発されていることから、Webサイトを運用する皆さんにとっても重要な言語と言えるでしょう。

安全で円滑なWebサイトの運用のためには、PHPを最新バージョンへとアップデートする必要があります。
一方で、PHP 5.4については、2015年9月3日に公式のセキュリティサポートが終了していますが、Webサイトに現場では稀にいまだ使用されているケースを見かけます。

そこで、この記事ではPHP 5.4の脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているPHP 5.4の脆弱性を簡単に把握できるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

2026年2月10日現在、PHP 5.4系統の最新バージョンは、PHP 5.4.45（2015年9月3日リリース）です。

PHP 5.4のセキュリティサポート期限は、2015年9月3日であり、既にサポートは終了した状態（EOL）です。

ご使用になられているPHPのバージョンが5.4系統の場合には、緊急レベルの脆弱性が存在する可能性があります。

PHP 5.4については、仮に使用されていたとしても、2015年9月3日にリリースされた最終バージョンである5.4.45を使用されていると思います。
その為、EOL以降に報告されたPHPコアに関する脆弱性で、当社が把握しているものを掲載します。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※CVEやNVD、JVNでは、EOL版のバージョンについては列挙義務がないという運用をなされています。その為、例えば影響範囲に「PHP before 7.x.x」のように記載されていた場合、PHP 5.4.xにも影響がある可能性があります。しかしながら、EOL以降のバージョンについては検証されないことも多く、全てを当社で検証することはリソース上困難です。その為、上記脆弱性情報については、CVE、NVD、JVNなどでPHP 5.4.xが影響範囲に含まれると明記されているものと、明記はされておらずとも「PHP before 5.x.x」と記載されていたり、他の情報からPHP 5.4.xにも影響があると推測することが合理的である場合を掲載しております。また、CVE-2019-9637以降の脆弱性については、Zend、TuxCare、CloudLinux等の商用延長サポートが5.4系にバックポートしている場合には、5.4にも影響を与える脆弱性であるとして掲載しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

PHP 5.4は、2015年9月3日をもって公式サポート（EOL）を迎えました。
これ以降、新たな脆弱性が発見された場合であっても、PHP公式から修正パッチが提供されることはありません。

もっとも、EOLを迎えたPHPバージョンであっても、直ちに危険な状態になるとは限りません。
OSによっては、セキュリティサポートが終了したミドルウェアに対しても、緊急性・重大性の高い脆弱性に限り、バックポートと呼ばれる方式で修正を適用するケースがあるためです。

とはいえ、Amazon Linux 2023では、PHP 5.4のパッケージ自体が存在していないため、同OSでは、それらに対するALAS（＝バックポートされた修正の配布）は発生しません。

また、RHEL 8、AlmaLinux OS 8、Rocky Linux 8並びにRHEL 9、AlmaLinux OS 9、Rocky Linux 9においては、現在、PHP 5.4は公式なサポート対象の範囲外となっており、EOL 後の PHP 5.4に対して継続的なセキュリティ修正が提供されることは事実上期待できません。

このため、PHP 5.4をご利用の場合で、OSがAmazon Linux 2023、RHEL、AlmaLinux OS、Rocky Linuxの場合には、PHP 8.3以降へのバージョンアップ、または対応環境へのマイグレーションを早期に検討することを推奨します。

※詳細については、コラム「EOLになったPHPバージョンとOSによるバックポートについて」をご覧ください。

PHP 5.4から最新バージョンへのバージョンアップについては、メジャーバージョンが2段階以上変わることから、Webアプリケーション側に不具合が発生する確率が非常に高く、かなりの工数がかかることが予想されます。
この場合、不具合の原因を特定し、これを改修できる専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側（WebサイトやCMS等）を専門としていますので、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。