製品・ソフトウェアに関する情報

JVN脆弱性詳細

Sensio LabsのHttpFoundation等の複数製品における認可判断のための非正規化 URL パスの使用に関する脆弱性

タイトル	Sensio LabsのHttpFoundation等の複数製品における認可判断のための非正規化 URL パスの使用に関する脆弱性
概要	Symfonyはウェブおよびコンソールアプリケーション向けのPHPフレームワークであり、再利用可能なPHPコンポーネントのセットを提供しています。SymfonyのHttpFoundationコンポーネントはHTTP仕様のためのオブジェクト指向レイヤーを定義しています。バージョン2.0.0から5.4.50、6.4.29、および7.3.7より前のバージョンでは、`Request`クラスが一部の`PATH_INFO`を不適切に解釈し、パスが`/`で始まらないURLを表現してしまうことがありました。これにより、`/`で始まるという前提で構築された一部のアクセス制御ルールを回避できる可能性がありました。バージョン5.4.50、6.4.29、および7.3.7以降では、`Request`クラスはURLパスが常に`/`で始まることを保証するように改善されています。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2025年11月12日0:00
登録日	2026年1月14日16:33
最終更新日	2026年1月14日16:33

CVSS3.0 : 重要
スコア	7.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

影響を受けるシステム

Sensio Labs

HttpFoundation 2.0.0 以上 5.4.50 未満

HttpFoundation 6.0.0 以上 6.4.29 未満

HttpFoundation 7.0.0 以上 7.3.7 未満

Symfony 2.0.0 以上 5.4.50 未満

Symfony 6.0.0 以上 6.4.29 未満

Symfony 7.0.0 以上 7.3.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-64500	https://www.cve.org/CVERecord?id=CVE-2025-64500
National Vulnerability Database (NVD)
2	CVE-2025-64500	https://nvd.nist.gov/vuln/detail/CVE-2025-64500
Symfony
3	CVE-2025-64500: Incorrect parsing of PATH_INFO can lead to limited authorization bypass (Symfony Blog)	https://symfony.com/blog/cve-2025-64500-incorrect-parsing-of-path-info-can-lead-to-limited-authorization-bypass

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-647	https://cwe.mitre.org/data/definitions/647.html

ベンダー情報

No	名前	URL
GitHub Advisory Database
1	Incorrect parsing of PATH_INFO can lead to limited authorization bypass Advisory symfony/symfony GitHub	https://github.com/symfony/symfony/security/advisories/GHSA-3rg7-wf37-54rm
2	security-advisories/symfony/http-foundation/CVE-2025-64500.yaml at master FriendsOfPHP/security-advisories GitHub	https://github.com/FriendsOfPHP/security-advisories/blob/master/symfony/http-foundation/CVE-2025-64500.yaml
3	security-advisories/symfony/symfony/CVE-2025-64500.yaml at master FriendsOfPHP/security-advisories GitHub	https://github.com/FriendsOfPHP/security-advisories/blob/master/symfony/symfony/CVE-2025-64500.yaml

その他

No	名前	URL
関連文書
1	[HttpFoundation] Fix parsing pathinfo with no leading slash symfony/symfony@9962b91 GitHub	https://github.com/symfony/symfony/commit/9962b91b12bb791322fa73836b350836b6db7cac

変更履歴

No	変更内容	変更日
1	[2026年01月14日] 掲載	2026年1月14日16:33