製品・ソフトウェアに関する情報

JVN脆弱性詳細

Sebastian BergmannのPHPUnitにおける複数の脆弱性

Title	Sebastian BergmannのPHPUnitにおける複数の脆弱性
Summary	PHPUnitはPHP用のテストフレームワークです。バージョン12.5.21および13.1.5では、PHPUnitはPHPのINI設定を子プロセス（孤立したPHPTテスト実行に使用）に-d name=valueのコマンドライン引数として渡しますが、INIのメタ文字を無効化していません。PHPのINIパーサは"を文字列デリミタとして、;をコメントの開始として、そして特に改行をディレクティブの区切りとして解釈するため、改行を含む値は子プロセスで複数のINIディレクティブとして解析されます。攻撃者が単一のINI値を操作できる場合、子プロセスの設定に対してauto_prepend_file、extension、disable_functions、open_basedirなどの任意の追加ディレクティブを注入できます。攻撃者が制御するパスにauto_prepend_fileを設定すると、子プロセスでリモートコード実行が可能になります。この問題はバージョン12.5.22および13.1.6で修正されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 8, 2026, midnight
Registration Date	May 11, 2026, 11:09 a.m.
Last Update	May 11, 2026, 11:09 a.m.

CVSS3.0 : 重要
Score	7.8
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

Sebastian Bergmann

PHPUnit 12.5.21

PHPUnit 13.1.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41570	https://www.cve.org/CVERecord?id=CVE-2026-41570
National Vulnerability Database (NVD)
2	CVE-2026-41570	https://nvd.nist.gov/vuln/detail/CVE-2026-41570

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-88	https://cwe.mitre.org/data/definitions/88.html
2	CWE-93	https://cwe.mitre.org/data/definitions/93.html

ベンダー情報

No	Name	URL
GitHub
1	Argument injection via newline in PHP INI values forwarded to child processes Advisory sebastianbergmann/phpunit GitHub	https://github.com/sebastianbergmann/phpunit/security/advisories/GHSA-qrr6-mg7r-m243

その他

No	Name	URL
関連文書
1	INI metacharacters `;` and `"` are not preserved when forwarding settings to child processes by kayw-geek Pull Request #6592 sebastianbergmann/phpunit GitHub	https://github.com/sebastianbergmann/phpunit/pull/6592

Change Log

No	Changed Details	Date of change
1	[2026年05月11日] 掲載	May 11, 2026, 11:09 a.m.

NVD Vulnerability Information

CVE-2026-41570

Summary	PHPUnit is a testing framework for PHP. In versions 12.5.21 and 13.1.5, PHPUnit forwards PHP INI settings to child processes (used for isolated/PHPT test execution) as -d name=value command-line arguments without neutralizing INI metacharacters. Because PHP's INI parser interprets " as a string delimiter, ; as the start of a comment, and most importantly a newline as a directive separator, a value containing a newline is parsed by the child process as multiple INI directives. An attacker able to influence a single INI value can therefore inject arbitrary additional directives into the child's configuration, including auto_prepend_file, extension, disable_functions, open_basedir, and others. Setting auto_prepend_file to an attacker-controlled path yields remote code execution in the child process. This issue has been patched in versions 12.5.22 and 13.1.6.
Publication Date	May 9, 2026, 12:16 a.m.
Registration Date	May 9, 2026, 4:13 a.m.
Last Update	May 9, 2026, 2:16 a.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/sebastianbergmann/phpunit/pull/6592	security-advisories@github.com
2	https://github.com/sebastianbergmann/phpunit/security/advisories/GHSA-qrr6-mg7r-m243	security-advisories@github.com
3	https://github.com/sebastianbergmann/phpunit/pull/6592	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-93	CRLF インジェクション	https://cwe.mitre.org/data/definitions/93.html
2	CWE-88	引数の挿入または変更	https://cwe.mitre.org/data/definitions/88.html