概要
MixPHP は PHP 向けの軽量 Web フレームワークで、Swoole や WorkerMan と連携した高性能なアプリケーション開発に使用されます。
本脆弱性は MixPHP フレームワーク 2.x 系(2.2.17 以前)の FileHandler コンポーネントにおける安全でないデシリアライゼーション(Insecure Deserialization)です。ファイルシステムを経由してセッションデータやキャッシュデータを永続化する際に、unserialize 関数が信頼できないデータに対して適切な制限なく呼び出されます。
攻撃者がファイルシステム上のセッション/キャッシュファイルを操作できる場合(例えば、ファイルアップロードの脆弱性やディレクトリトラバーサルとの組み合わせ)、細工したシリアライズデータを注入することで任意のオブジェクトインスタンス化が可能になります。PHP のオブジェクトインジェクションを通じて、アプリケーション内に存在するガジェットチェーンを利用した任意コード実行に至る可能性があります。
本脆弱性は CVE-2026-42472(RedisHandler のデシリアライゼーション)と同一の根本原因を共有しており、MixPHP のセッション/キャッシュ管理における unserialize の使用方法全般に問題があることを示しています。両方の CVE に対応するため、フレームワークのアップデートを推奨します。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-502 (安全でないデシリアライゼーション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| MixPHP Framework | MixPHP | 2.0 〜 2.2.17 |
修正バージョンと回避策
- 修正バージョン: MixPHP の修正版へアップデートしてください
- 回避策: アップデートが即座に実施できない場合は、FileHandler の使用を停止し、別のセッション/キャッシュハンドラーに切り替えてください。また、セッション/キャッシュファイルの保存ディレクトリに対する書き込み権限を厳格に制限してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。