- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
本記事では、PHP8.2の脆弱性情報をまとめたもので、2025年4月17日に改訂しています。
PHPとはWebサイトやアプリを開発する際に広く採用されているプログラミング言語であり、Webサーバー上で動いてプログラムを実行するサーバーサイドスクリプト言語に分類されます。
このPHPは、WordPressを始めとする主要なCMS(コンテンツ・マネジメント・システム)の多くがPHPで開発されていることから、Webサイトを運用する皆さんにとっても重要な言語と言えるでしょう。
安全で円滑なWebサイトの運用のためには、PHPを最新バージョンへとアップデートする必要があります。
この記事では、企業のWeb担当者の皆様が、ご使用になられているPHP8.2系統の脆弱性を簡単に把握できるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
PHP8.2系統のバージョン情報と脆弱性に関するポイント
2025年4月17日現在、PHP8.2系統の最新バージョンは8.2.28です。
PHP8.2系統の、セキュリティサポート期限は、2026年12月31日です。
ご使用になられているPHPのバージョンが8.2.27以下の場合には、緊急レベルの脆弱性が存在する可能性があります。
PHP8.2系統の脆弱性情報
当社が把握しているPHP8.2系統の脆弱性情報は次の通りです。
| 脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
| CVSS v4 6.3 (警告) |
PHP 8.2.0から8.2.27 | PHP 8.2.28 | |
| CVSS v4 6.3 (警告) |
PHP 8.2.0から8.2.27 | PHP 8.2.28 | |
| CVSS v4 6.3 (警告) |
PHP 8.2.0から8.2.27 | PHP 8.2.28 | |
| CVSS v4 6.3 (警告) |
PHP 8.2.0から8.2.27 | PHP 8.2.28 | |
| CVSS v4 6.3 (警告) |
PHP 8.2.0から8.2.27 | PHP 8.2.28 | |
| CVSS v3 9.8 (緊急) |
PHP 8.2.0から8.2.25 | PHP 8.2.26 | |
| CVSS v3 7.2 (重要) |
PHP 8.2.0から8.2.25 | PHP 8.2.26 | |
| CVSS v3 8.2 (重要) |
PHP 8.2.0から8.2.25 | PHP 8.2.26 | |
| CVSS v3 9.8 (緊急) |
PHP 8.2.0から8.2.25 | PHP 8.2.26 | |
| CVSS v3 5.8 (警告) |
PHP 8.2.0から8.2.25 | PHP 8.2.26 | |
| CVSS v3 5.3 (警告) |
PHP 8.2.0から8.2.23 | PHP 8.2.24 | |
| CVSS v3 8.8 (重要) |
PHP 8.2.0から8.2.19 | PHP 8.2.20 | |
| CVSS v3 5.3 (警告) |
PHP 8.2.0から8.2.19 | PHP 8.2.20 | |
| CVSS v3 9.8 (緊急) |
PHP 8.2.0から8.2.19 | PHP 8.2.20 | |
| CVSS v3 5.9 (警告) |
PHP 8.2.0から8.2.19 | PHP 8.2.20 | |
| CVSS v3 9.4(緊急) |
PHP 8.2.0から8.2.17 | PHP 8.2.18 | |
| CVSS v3 8.1 (重要) |
PHP 8.2.0から8.2.2 | PHP 8.2.3 | |
| CVSS v3 6.2 (警告) |
PHP 8.2.0から8.2.2 | PHP 8.2.3 | |
| CVSS v3 9.8 (緊急) |
PHP 8.2.0から8.2.8 | PHP 8.2.9 | |
| CVSS v3 7.5 (重要) |
PHP 8.2.0から8.2.8 | PHP 8.2.9 | |
| CVSS v3 4.3 (警告) |
PHP 8.2.0から8.2.6 | PHP 8.2.7 | |
| CVSS v3 7.5 (重要) |
PHP 8.2.0から8.2.2 | PHP 8.2.3 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v4.0ないしv3.xに基づいています(上記表ではv4、v3と省略)。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠していますが、NVDにてスコアリングされていない場合、PHP Groupのスコアに準拠しています。
※原則としてNVDのページを正としてリンクを掲載していますが、JVNに掲載されていて、NVDと矛盾していない場合にはJVNのリンクを掲載しています。
※原則としてPHPコアに関する脆弱性のみを掲載しています。例えば、CVE-2024-9026については付属のPHP-FPMモジュール固有の脆弱性であることから除外していますし、CVE-2024-8926、CVE-2024-8927についてはPHPをCGIモードで実行する場合特有の脆弱性であることから除外しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
PHPのバージョンアップに強いWeb制作会社をお探しの場合にはご相談ください
PHPのバージョンアップは複雑な作業工程を伴うため、安全に行うためには専門的な知識が必要です。
また、Web制作会社はいわゆるWebアプリケーション側(WebサイトやCMS等)を専門としていますので、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されている企業であり、PHPのバージョンアップについて知見を有しております。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
WebサイトおよびWebシステムにおけるPHPバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問合せください。
- この記事を書いた存在
- ちほうタイガー
taneCREATIVEに所属する謎のトラ。
- 日差しにも春の訪れを感じるようになりました今日この頃。
皆さまいかがお過ごしでしょうか。
私は桜を見ずにコラムを書いています。
2025年4月17日改訂
2024年12月11日執筆
