PHPプロジェクトは2025年12月18日(現地時間)、PHP 8.5系の最新リリース「PHP 8.5.1」と、8.4系のメンテナンスリリース「PHP 8.4.16」を公開しました。どちらも広範な不具合修正に加え、脆弱性修正が含まれています。
目次
今回のアップデートで修正された主な脆弱性
CVE-2025-14178(array_merge() のヒープバッファオーバーフロー)
緊急度:高(最優先で更新を検討)array_merge()でヒープバッファオーバーフローが起き得る類型は、サービス停止(クラッシュ)だけでなく、条件次第でより深刻な影響に繋がる可能性があるため、優先度を最上位に置くのが無難です。
CVE-2025-14180(PDO quoting result null deref)
緊急度:高(早急に更新)
PDOのクォート処理でNULL参照(クラッシュ)が起きる内容で、典型的にはDoS(サービス妨害)として悪用される。外部入力を受ける経路でPDOの該当機能が呼ばれる構成だと、更新優先度は上がります。
CVE-2025-14177(getimagesize のメモリ情報漏えい)
緊急度:中(計画更新より前倒し推奨)
getimagesize に起因するメモリ情報漏えいです。
特に、外部からアップロードされた画像など、攻撃者が細工した入力を与えられる運用では優先度を上げてください。
CVE-2025-67899(uriparser 0.9.9まで:無制限再帰によるスタック消費)
緊急度:中(影響条件を満たすなら早急に)uriparser 側で、細工したURIなどにより無制限再帰→スタック消費が起き得る、主にDoS系の話です。
URL/URIをパースする箇所に外部入力が入るシステムでは、実害が出やすい脆弱性です
GHSA-www2-q4fc-65wf(dns_get_record のNUL終端問題:※CVE記載なし)
緊急度:中〜低(環境依存で判断)dns_get_record() のNUL終端(ヌルバイト)に関する修正です。、特定条件での誤動作・想定外の挙動に繋がる可能性があります。
DNS問い合わせ結果をセキュリティ判断に使っている(アクセス制御、許可判定など)場合は、優先度を引き上げてください。







