プラットフォーム
go
コンポーネント
github.com/dunglas/frankenphp
修正版
1.11.3
1.11.2
CVE-2026-24894は、github.com/dunglas/frankenphpにおけるセッションデータ漏洩の脆弱性です。ワーカーモードで実行される際、異なるリクエスト間でセッション情報が誤って共有される可能性があります。この脆弱性は、攻撃者が機密情報を窃取するリスクをもたらします。影響を受けるバージョンは1.11.2以前であり、バージョン1.11.2へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はFrankenPHPのワーカーモードで処理されるリクエスト間でセッションデータを窃取できる可能性があります。これにより、認証情報や機密データが漏洩し、不正アクセスやデータ改ざんにつながる可能性があります。特に、セッションデータに機密情報が含まれる場合、その影響は甚大です。この脆弱性は、類似のセッション管理の不備から生じる攻撃と同様のパターンで悪用される可能性があります。
CVE-2026-24894は、2026年2月17日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、セッション漏洩の脆弱性は悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。
Developers and security professionals using FrankenPHP for automated testing, particularly those relying on worker mode for parallel execution, are at risk. Teams using FrankenPHP to test applications handling sensitive data, such as authentication systems or financial transactions, should prioritize patching.
disclosure
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずFrankenPHPをバージョン1.11.2以上にアップデートすることを推奨します。アップデートが困難な場合は、ワーカーモードの使用を一時的に停止するか、セッションデータの取り扱いに関するコードレビューを実施し、セッション情報が適切に管理されていることを確認してください。また、WAF(Web Application Firewall)を導入し、セッションデータの不正なアクセスを検知・遮断するルールを設定することも有効です。脆弱性スキャンツールを用いて定期的に脆弱性をチェックすることも重要です。アップデート後、セッションデータの取り扱いに関するコードを再度レビューし、問題がないことを確認してください。
FrankenPHP をバージョン 1.11.2 以降にアップデートしてください。このバージョンは、worker モードでリクエスト間でセッションデータが漏洩する脆弱性を修正します。アップデートにより、セッションデータがリクエスト間で正しくリセットされるようになり、他のユーザーの情報への不正アクセスを防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24894は、FrankenPHPのワーカーモードにおいて、リクエスト間でセッションデータが漏洩される脆弱性です。攻撃者はこの脆弱性を悪用して、機密情報を窃取する可能性があります。
FrankenPHPのバージョンが1.11.2以前の場合、この脆弱性の影響を受けます。バージョン1.11.2以上にアップデートすることで、脆弱性を解消できます。
FrankenPHPをバージョン1.11.2以上にアップデートしてください。アップデートが難しい場合は、ワーカーモードの使用を一時停止するか、セッションデータの取り扱いに関するコードレビューを実施してください。
現時点では、公的な悪用事例は確認されていませんが、セッション漏洩の脆弱性は悪用される可能性が高いため、注意が必要です。
FrankenPHPの公式アドバイザリは、github.com/dunglas/frankenphpのリポジトリのリリースノートで確認できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。