概要
MixPHP は PHP 向けの軽量 Web フレームワークで、Swoole や WorkerMan と連携した高性能なアプリケーション開発に使用されます。
本脆弱性は MixPHP フレームワーク 2.x 系(2.2.17 以前)の RedisHandler コンポーネントにおける安全でないデシリアライゼーション(Insecure Deserialization)です。Redis を経由してセッションデータやキャッシュデータを取り扱う際に、unserialize 関数が信頼できないデータに対して適切な制限なく呼び出されるため、攻撃者が細工したシリアライズデータを Redis に注入することで、任意のオブジェクトインスタンス化やメソッド呼び出しが可能になります。
安全でないデシリアライゼーションは、PHP アプリケーションにおいて特に深刻な影響を持つ脆弱性クラスです。PHP のオブジェクトインジェクションを通じて、ファイル操作、コマンド実行、データベース操作など、アプリケーション内に存在するガジェットチェーンを利用した攻撃が成立する可能性があります。
Redis サーバーが外部からアクセス可能な場合や、別の脆弱性を通じて Redis にデータを注入できる場合に、リモートからの任意コード実行に直結するため、即座の対応が必要です。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-502 (安全でないデシリアライゼーション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| MixPHP Framework | MixPHP | 2.0 〜 2.2.17 |
修正バージョンと回避策
- 修正バージョン: MixPHP の修正版へアップデートしてください
- 回避策: アップデートが即座に実施できない場合は、RedisHandler の使用を停止し、別のセッション/キャッシュハンドラーに切り替えてください。また、Redis サーバーへのネットワークアクセスを厳格に制限してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。