PHP の GD ライブラリの imagecreatefromgif 関数における値処理不備によりサービス不能攻撃が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.03(金)

PHP の GD ライブラリの imagecreatefromgif 関数における値処理不備によりサービス不能攻撃が可能となる脆弱性(Scan Tech Report)

PHP の画像処理ライブラリである GD に、値処理の不備に起因するサービス不能攻撃を可能とする脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

PHP にサービス不能攻撃が可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、HTTP および HTTPS サービスに大きな負荷が掛かりサービスが停止してしまう可能性があります。PHP を用いた Web アプリケーションを運用している場合は、PHP のバージョンをアップデートすることにより対策してください。

◆分析者コメント

当該脆弱性は imagecreatefromgif 関数に外部からデータを与えることが可能な Web アプリケーションのみが影響を受けますが、脆弱性を悪用する GIF 画像ファイルの作成が容易であるため、攻撃者が悪用する可能性がある脆弱性であると考えられます。可能であればアップデートを実施することにより対策することを推奨します。

◆深刻度(CVSS)

[CVSS v2]
4.3
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2018-5711&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:P)

[CVSS v3]
5.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2018-5711&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

◆影響を受けるソフトウェア

以下のバージョンの PHP が影響を受けると報告されています。

  - PHP 5 系: 5.6.33 未満
  - PHP 7.0 系: 7.0.27 未満
  - PHP 7.1 系: 7.1.13 未満
  - PHP 7.2 系: 7.2.1 未満

RPM、dpkg などの OS ベンダ個別のパッケージからインストールした PHP を用いている場合は、パッチの適用状況が異なるため、各 OS ベンダの情報を参照してください。

◆解説

PHP の画像処理ライブラリである GD に、値処理の不備に起因するサービス不能攻撃を可能とする脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  5. メール配信システム「める配くん」の一部サーバに不正アクセス、情報漏えいと考えられる痕跡を確認

    メール配信システム「める配くん」の一部サーバに不正アクセス、情報漏えいと考えられる痕跡を確認

ランキングをもっと見る
PageTop