2025年3月9日、Voltにおいて、リモートコード実行(RCE)の重大な脆弱性(CVE-2025-27517)が発見され、修正版がリリースされました。Voltは、1.08百万以上のダウンロード実績を持ち、Livewire向けのPHPロジックとBladeテンプレートをシングルファイルコンポーネントで統合できるツールとして広く利用されています。
脆弱性の対象バージョン
Volt 1.6.x以前
脆弱性の対処バージョン
Volt 1.7.0バージョン
脆弱性の概要
Voltは、ユーザー入力と動的なリクエスト処理を活用することで、高速かつ柔軟な開発を実現しています。しかし、リクエスト処理の仕組みに、悪意のあるリクエストペイロードによってRCEが可能となる深刻な脆弱性が存在していました。
この脆弱性を悪用したサイバー攻撃者は、特別に設計されたペイロードを作成し、脆弱なVoltベースのアプリケーション内で任意のPHPコードを実行する可能性があります
なお、この脆弱性はCVSSv4 スコアが 9.3 と重大な脆弱性なのでアップデートする事をお勧めします。
Voltとは
Voltは、PHPのLivewireフレームワーク向けに開発された、機能的なAPIライブラリです。PHPのロジックとBladeテンプレートを単一ファイルコンポーネント内で統合し、効率的でシンプルな開発を実現します。
主な特徴
- シングルファイルコンポーネント:PHPロジックとBladeテンプレートを1つのファイルで管理し、メンテナンス性を向上。
- シームレスなデータバインディング:PHPとフロントエンドのデータのやり取りを効率化。
- 動的なリクエスト処理:ユーザー入力に応じて動的な処理を実行可能。
- Livewireとの高い親和性:Livewireのコンポーネント構造に最適化されており、開発効率を向上。
Voltは、リアルタイムでのデータ反映や動的なUIの構築において非常に有効で、特にインタラクティブなWebアプリケーションの開発に適しています。
関連記事
WatchGuardで重大な脆弱性が発見(CVE-2024-6592,CVE-2024-6593)
JPCERTがVolt Typhoonの攻撃キャンペーン「Operation Blotless」に関して注意喚起
ServiceNowの脆弱性を悪用した攻撃が観測される(CVE-2024-4879、CVE-2024-5217)
MicrosoftがLDAPサービスで危険な脆弱性を公開(CVE-2024-49112)
Linux カーネルで権限昇格の脆弱性のPoCエクスプロイトがリリース(CVE-2024-27397)
パロアルトネットワークスがCVE-2024-9463 (CVSS 9.9) を含む重大な脆弱性について勧告
MitelのOpenScape 4000とOpenScape 4000 Managerで危険度の高い脆弱性(CVE-2025-23093,CVE-2025-23094)
Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)
OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466)