2026年5月7日、PHPチームはPHP 8系の全サポートバージョンに対してセキュリティリリースを一斉公開しました。
対象はPHP 8.5.6・PHP 8.4.21・PHP 8.3.31・PHP 8.2.31の4バージョンで、いずれも「セキュリティリリース(security release)」と明示されており、全ユーザーに対して即時アップグレードが推奨されています。今回のリリースでは5件のCVEが修正されており、影響範囲はFPM(PHP-FPM)・MBString・DOM・PDO_Firebirdと広範囲にわたります。
この記事のサマリー
- 2026年5月7日にPHP 8.5.6・8.4.21・8.3.31・8.2.31が同時にセキュリティリリースとして公開されました。
- 修正されたCVEは5件:CVE-2026-6735(FPM XSS)・CVE-2026-7259(MBString NULLポインタ参照)・CVE-2026-6104(MBString境界外アクセス)・CVE-2026-7263(DOM C14N重複xmlns)・CVE-2025-14179(PDO_Firebird SQLインジェクション)。
- PHP-FPMのステータスエンドポイントにXSS脆弱性(CVE-2026-6735)、MBStringにNULLポインタ参照とメモリ境界外アクセス(CVE-2026-7259・CVE-2026-6104)が含まれており、サービス停止・情報漏洩のリスクがあります。
- PDO_Firebirdに対するNULバイトを利用したSQLインジェクション(CVE-2025-14179)は2025年に報告された脆弱性のバックポート修正です。
- PHP 8.1は既にEOL(サポート終了)であり、今回のリリースに含まれていません。PHP 8.1以下を使用している場合は早急なバージョンアップが必要です。
リリース一覧
| バージョン | リリース日 | 種類 | ChangeLog |
|---|---|---|---|
| PHP 8.5.6 | 2026年5月7日 | セキュリティリリース | ChangeLog |
| PHP 8.4.21 | 2026年5月7日 | セキュリティリリース | ChangeLog |
| PHP 8.3.31 | 2026年5月7日 | セキュリティリリース | ChangeLog |
| PHP 8.2.31 | 2026年5月7日 | セキュリティリリース | ChangeLog |
ダウンロードはphp.net/downloads.phpから。Windowsバイナリも同ページから取得できます。
修正された脆弱性(CVE)の詳細
CVE-2026-6735 — FPM(PHP-FPM)ステータスエンドポイントのXSS
GHSA-7qg2-v9fj-4mwvとして報告されたこの脆弱性は、PHP-FPMのステータスページ(/statusエンドポイント)におけるクロスサイトスクリプティング(XSS)です。
PHP-FPMのステータスページは、リクエスト数・処理時間・接続数などの統計情報をリアルタイムで表示する管理用エンドポイントです。インターネットに公開された状態でこのエンドポイントが有効になっている場合、攻撃者が細工したリクエストを通じて悪意あるスクリプトをステータスページに注入し、管理者や別のユーザーのブラウザで実行させる可能性があります。
FPMのステータスエンドポイントを使用しているサーバー、特に外部からアクセス可能な環境では優先度の高い修正です。
CVE-2026-7259 — MBString NULLポインタ参照(mb_ereg_search_init()経由)
GHSA-wm6j-2649-pv75として報告されたこの脆弱性は、php_mb_check_encoding()関数に存在するNULLポインタ参照で、mb_ereg_search_init()を通じてトリガーされます。
マルチバイト文字列(日本語・中国語・韓国語等)を処理するMBString拡張モジュールに存在するこの問題は、細工された入力によってPHPプロセスのクラッシュ(DoS)を引き起こす可能性があります。日本語サイトをはじめ、マルチバイト文字処理を行うすべてのPHPアプリケーションに影響します。
CVE-2026-6104 — MBString 境界外アクセス(mbfl_name2encoding_ex())
GHSA-74r9-qxhc-fx53として報告されたこの脆弱性は、MBString拡張のmbfl_name2encoding_ex()関数における境界外(Out-of-bounds)メモリアクセスです。
境界外メモリアクセスは、プロセスのクラッシュ(サービス停止)から、最悪の場合にはメモリ上の機密情報の読み取り・任意コード実行(RCE)のリスクにつながり得ます。MBStringを使用するすべての環境が対象です。
CVE-2025-14179 — PDO_Firebird NULバイトを利用したSQLインジェクション
GHSA-w476-322c-wpvmとして報告されたこの脆弱性は、PDO_Firebirdドライバにおいて、クオートされた文字列内のNUL(null)バイトを介したSQLインジェクションが可能になるというものです。CVEの採番が2025年であることから、以前から報告されていた問題が今回のリリースでバックポート修正されました。
PDO_FirebirdはFirebirdデータベースへの接続に使用されるPHPドライバです。Firebirdを使用する環境のみが対象ですが、SQLインジェクションは認証バイパス・データ漏洩・データ改ざん等の深刻な被害につながります。
CVE-2026-7263 — DOM C14N() 重複xmlns宣言
GHSA-4jhr-8w89-j733として報告されたこの脆弱性は、Dom\XMLDocument::C14N()メソッドがsetAttributeNS()呼び出し後に重複したxmlns宣言を出力するというものです。
C14N(Canonical XML)はXML署名(XML-DSig)やXMLSec等でドキュメントの正規化に使用されます。不正な出力によって署名の検証が意図せず失敗したり、XML処理ロジックに誤動作を引き起こす可能性があります。XML署名・SAML認証・XMLSec等を使用する環境では影響を確認することが推奨されます。
セキュリティ修正以外の主要な変更(PHP 8.5.6)
セキュリティ修正に加え、PHP 8.5.6では以下の重要なバグ修正も含まれています。
コアの修正として、ファイバー・ジェネレーター・デストラクタとのGCアサーション失敗バグ(GH-19983)や、Trait定数名とEnum caseの競合によるSEGV(GH-21760)など複数の安定性改善が含まれています。
OpcacheおよびJITの修正として、JITアサーション失敗(GH-21158)・JITスマートブランチのバグ(GH-21593)・COND最適化のリグレッション(GH-21460)等が修正されています。
Curlの改善として、Windows環境でbrotliおよびzstd圧縮形式のサポートが追加されました。
Lexborのアップグレードとして、HTMLパーサーライブラリlexborがv2.7.0にアップグレードされています。
影響を受けるバージョンと対応
| 現在のバージョン | 状態 | 推奨アクション |
|---|---|---|
| PHP 8.5.x(8.5.5以前) | サポート中 | 8.5.6へ即時アップデート |
| PHP 8.4.x(8.4.20以前) | サポート中 | 8.4.21へ即時アップデート |
| PHP 8.3.x(8.3.30以前) | サポート中 | 8.3.31へ即時アップデート |
| PHP 8.2.x(8.2.30以前) | セキュリティ修正のみ | 8.2.31へ即時アップデート |
| PHP 8.1.x以前 | EOL(サポート終了) | PHP 8.2以上へのバージョンアップが必要 |
| PHP 7.x以前 | EOL(サポート終了) | PHP 8.2以上へのバージョンアップが必要 |
開発者・インフラ担当者が今すぐ取るべき行動
FPM(PHP-FPM)を使用している場合の緊急確認として、ステータスエンドポイント(/status)が外部からアクセス可能な設定になっていないかを確認してください。外部公開の必要がなければ、nginx・Apache等のWebサーバー設定でアクセスを内部IPに制限することが推奨されます。
MBStringを使用しているアプリケーションへの対応として、日本語サイト・多言語対応サイトではほぼすべてのケースでMBStringが使用されています。CVE-2026-7259・CVE-2026-6104はクラッシュ誘発の可能性があるため、公開Webサービスでは特に優先してアップデートしてください。
Docker・コンテナ環境での対応として、公式PHP DockerイメージはDockerHubで最新版(php:8.5.6・php:8.4.21・php:8.3.31・php:8.2.31)が公開されています。docker pull・docker-compose pullでイメージを更新し、コンテナを再ビルドしてください。
パッケージマネージャー経由での更新として、Ubuntu/Debianではondrej/php PPAから、CentOS/RHELではRemi’s RPM repositoryから最新版を取得できます。各パッケージリポジトリの更新状況を確認してください。
参考情報
- PHP 8.5.6 Released!(php.net、2026年5月7日)
- PHP 8.4.21 Released!(php.net、2026年5月7日)
- PHP 8.3.31 Released!(php.net、2026年5月7日)
- PHP 8.2.31 Released!(php.net、2026年5月7日)
- PHP 8 ChangeLog(php.net)
- GHSA-7qg2-v9fj-4mwv(FPM XSS・CVE-2026-6735)
- GHSA-wm6j-2649-pv75(MBString NULL参照・CVE-2026-7259)
- GHSA-74r9-qxhc-fx53(MBString境界外アクセス・CVE-2026-6104)
- GHSA-w476-322c-wpvm(PDO_Firebird SQLインジェクション・CVE-2025-14179)
- GHSA-4jhr-8w89-j733(DOM C14N重複xmlns・CVE-2026-7263)
- PHPダウンロードページ
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ
関連記事
WPS Officeで危険度の高い脆弱性
Google Gemini CLIにCVSS 10.0の最高深刻度の脆弱性
React Server ComponentsにDoS脆弱性 CVE-2026-23869
Reactの脆弱性 React2Shell(CVE-2025-55182)とは-React Server Components/Next.jsを直撃する脆弱性
Reactで新たな脆弱性 DoS(サービス不能)とソースコード 漏洩の可能性、19系の複数バージョンに影響(CVE-2025-55184 / CVE-2025-67779/CVE-2025-55183)
金融庁、地方銀行へClaude Mythos(クロード・ミュトス)サイバー攻撃への悪用 対策整備へ要請
Rust PHP Node.js Haskellなど複数のプログラミング言語に影響するWindows環境の引数エスケープ処理に関する脆弱性が発生
Next.jsにキャッシュポイズニング脆弱性(CVE-2025-49826)
約4,000万以上のパスワードマネージャー ブラウザ拡張機能で機密情報が漏洩する脆弱性
