製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

phpwcmsにおける複数の脆弱性

タイトル	phpwcmsにおける複数の脆弱性
概要	slackero phpwcms バージョン 1.9.45 および 1.10.8 までに、重大と分類される脆弱性が発見されました。影響を受けるのは image_resized.php ファイルの is_file および getimagesize 関数です。引数 imgfile の操作によりデシリアライズが発生します。この攻撃はリモートから実行可能です。攻撃コードは公開されており、悪用される可能性があります。本問題はバージョン 1.9.46 および 1.10.9 へのアップグレードによって対策可能です。影響を受けるコンポーネントのアップグレードを推奨します。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2025年6月3日0:00
登録日	2026年1月22日11:29
最終更新日	2026年1月22日11:29

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

phpwcms

phpwcms 1.10.2 以上 1.10.9 未満

phpwcms 1.9.46 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-5499	https://www.cve.org/CVERecord?id=CVE-2025-5499
National Vulnerability Database (NVD)
2	CVE-2025-5499	https://nvd.nist.gov/vuln/detail/CVE-2025-5499
VulDB
3	CVE-2025-5499 slackero phpwcms image_resized.php getimagesize deserialization	https://vuldb.com/?id.310914

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-502	https://cwe.mitre.org/data/definitions/502.html

ベンダー情報

No	名前	URL
Code
1	cve_repo/phpwcms/image_resized#getimagesize.md at main 3em0/cve_repo GitHub	https://github.com/3em0/cve_repo/blob/main/phpwcms/image_resized%23getimagesize.md
VulDB
2	Submit #578082: phpwcms 1.10.8 phar/php filter vulnerability	https://vuldb.com/?submit.578082
3	Submit #578083: phpwcms 1.10.8 phar/php filter vulnerability	https://vuldb.com/?submit.578083

その他

No	名前	URL
関連文書
1	Release phpwcms 1.10.9 slackero/phpwcms GitHub	https://github.com/slackero/phpwcms/releases/tag/v1.10.9

変更履歴

No	変更内容	変更日
1	[2026年01月22日] 掲載	2026年1月22日11:29

NVD脆弱性情報

CVE-2025-5499

概要	A vulnerability classified as critical has been found in slackero phpwcms up to 1.9.45/1.10.8. Affected is the function is_file/getimagesize of the file image_resized.php. The manipulation of the argument imgfile leads to deserialization. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 1.9.46 and 1.10.9 is able to address this issue. It is recommended to upgrade the affected component.
公表日	2025年6月3日23:15
登録日	2025年6月4日4:00
最終更新日	2025年6月3日23:15

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/3em0/cve_repo/blob/main/phpwcms/image_resized%23getimagesize.md
2	https://github.com/slackero/phpwcms/releases/tag/v1.10.9
3	https://vuldb.com/?ctiid.310914
4	https://vuldb.com/?id.310914
5	https://vuldb.com/?submit.578082
6	https://vuldb.com/?submit.578083

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html