PHP において imap_open 関数の実装不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2026.05.23(土)

PHP において imap_open 関数の実装不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

PHP において、IMAP によりメールを操作するために使用する imap_open 関数に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
150 views
facebookLINE
CVE-2018-19518
CVE-2018-19518 全 1 枚 拡大写真
◆概要

 PHP において、IMAP によりメールを操作するために使用する imap_open 関数に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、攻撃者によってサーバに侵入されてしまう可能性や、重大な情報セキュリティ事故につながる可能性があります。ソフトウェアをアップデートすることにより対策してください。

◆分析者コメント

 幅広いバージョンの PHP に当該脆弱性が存在していますが、ユーザによる入力値により imap_open 関数が実行されてしまうような Web アプリケーションでなければ遠隔コード実行までされてしまう可能性は低いです。一部の CMS は、管理用コンソールの機能として用いているため、認証を突破されてしまった場合に、当該脆弱性を悪用されてしまう可能性があります。imap_open 関数が用いられていない Web アプリケーションで当該脆弱性が悪用されてしまう可能性はありませんが、気がつかないところに当該関数が利用されているという可能性があるため、PHP をアップデートすることにより、根本的に対策することを推奨します。

◆深刻度(CVSS)

[CVSS v3]
8.1
https://access.redhat.com/security/cve/cve-2018-19518

◆影響を受けるソフトウェア

 Linux ディストリビューションにより、脆弱性を受けるバージョンが異なるため、運用している Linux のディストリビューションの Web ページを参照してください。

  - Ubuntu
    https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-19518.html
  - Debian
    https://security-tracker.debian.org/tracker/CVE-2018-19518
  - Red Hat
    https://access.redhat.com/security/cve/cve-2018-19518
  - SUSE
    https://www.suse.com/security/cve/CVE-2018-19518/

◆解説

 PHP において、IMAP プロトコルによりメールを開く関数である imap_open 関数の実装不備により、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

    経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

  2. アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

    アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

  3. ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

    ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

  4. イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

    イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

  5. カー用品店「ジェームス」に不正アクセス、会員情報が漏えいした可能性

    カー用品店「ジェームス」に不正アクセス、会員情報が漏えいした可能性

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP