MEDIUMCVE-2026-6409

Denial of Service (DoS)脆弱性が、Protobuf PHPライブラリにおいて、信頼できない入力の解析中に存在します。

プラットフォーム

php

コンポーネント

protobuf/protobuf

修正版

5.34.0-RC1

4.33.6

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-6409は、Protobuf-phpライブラリにおけるサービス拒否（DoS）の脆弱性です。悪意のある構造を持つメッセージ、特に負のvarintや深い再帰を含むメッセージを解析する際に、アプリケーションがクラッシュする可能性があります。この脆弱性は、Protobuf-phpのバージョン0.0.0から5.34.0-RC1までのバージョンに影響を与えます。5.34.0-RC1および4.33.6でパッチがリリースされています。

影響と攻撃シナリオ

Protobuf PHPライブラリ (Pecl) (CVE-2026-6409) において、信頼できない入力の解析中にDenial of Service (DoS) の脆弱性が存在します。特に、負の varint 値や深い再帰を含む悪意のある構造のメッセージは、アプリケーションをクラッシュさせ、サービスの可用性に影響を与える可能性があります。攻撃者はこの脆弱性を悪用して、Protobuf PHPに依存するアプリケーションの正常な動作を妨害し、ダウンタイムや潜在的なデータ損失を引き起こす可能性があります。この脆弱性の重大性は、悪意のあるメッセージの作成が容易であり、さまざまなアプリケーションに広範囲に影響を与える可能性があることにあります。

悪用の状況

この脆弱性の悪用には、攻撃者がアプリケーションに送信されるProtobufメッセージの構造を制御できる必要があります。これは、アプリケーションがAPIやWebサービスなどの外部ソースからメッセージを受信するシナリオで発生する可能性があります。負のvarint値や深い再帰を含むメッセージを作成するには、Protobufメッセージ形式の基本的な知識が必要です。悪用の影響は、アプリケーションアーキテクチャとシステム負荷によって異なる場合があります。

リスク対象者翻訳中…

Applications utilizing Protobuf-php to process untrusted data are at risk. This includes services that receive Protocol Buffer messages from external sources, such as APIs or user uploads. Specifically, applications with legacy Protobuf-php configurations or those lacking robust input validation are particularly vulnerable.

検出手順翻訳中…

• php / server:

find /var/www/html -name 'protobuf-php' -type d

• php / server:

ps aux | grep 'Protobuf-php' | grep -v grep

• generic web: Check application logs for errors related to Protocol Buffer parsing or unexpected crashes around the time of the vulnerability disclosure.

攻撃タイムライン

2026-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.09% (25% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントprotobuf/protobuf

ベンダーProtocol Buffers

影響範囲修正版

0.0.0 – 5.33.95.34.0-RC1

—4.33.6

弱点分類 (CWE)

CWE-20

タイムライン

予約済み2026-04-15
公開日2026-04-16
EPSS 更新日2026-04-24

緩和策と回避策

CVE-2026-6409に関連するリスクを軽減するために、Protobuf PHPライブラリをバージョン5.34.0-RC1または4.33.6にアップデートすることを強くお勧めします。これらのバージョンには、DoS脆弱性を修正する修正が含まれています。一時的な対策として、アプリケーションの信頼できない入力への露出を制限し、Protobuf PHPでデータを処理する前に厳格な入力検証を実行することを検討してください。アプリケーションログを異常な動作がないか監視することも、潜在的な悪用試行を検出するのに役立ちます。

修正方法翻訳中…

Actualice la biblioteca Protobuf-php a la versión 5.34.0-RC1 o superior para mitigar la vulnerabilidad de denegación de servicio.  Asegúrese de probar la nueva versión en un entorno de desarrollo antes de implementarla en producción.  Esta actualización aborda el problema al mejorar el manejo de mensajes protobuf maliciosos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-6409 とは何ですか？（Protobuf-php の Denial of Service (DoS)）

Protobuf PHPは、GoogleのProtocol Buffersを実装するPHPのライブラリであり、効率的でクロスプラットフォームのデータシリアル化メカニズムです。

Protobuf-php の CVE-2026-6409 による影響を受けていますか？

Protobuf PHPを使用している場合は、インストールされているバージョンを確認してください。5.34.0-RC1または4.33.6より古い場合は、脆弱です。

Protobuf-php の CVE-2026-6409 を修正するにはどうすればよいですか？

一時的な対策として、入力データを厳密に検証し、信頼できないソースへの露出を制限してください。

CVE-2026-6409 は積極的に悪用されていますか？

いいえ、CVE-2026-6409には現在KEVは存在しません。

CVE-2026-6409 に関する Protobuf-php の公式アドバイザリはどこで確認できますか？

最新情報と詳細については、公式のProtobuf PHPドキュメントと関連するセキュリティソースを参照してください。