B
今週中
PHPライブラリ「scramble」に、リモートコード実行(RCE)が可能な脆弱性
📌 一言でいうと
PHPライブラリ「scramble」に、リモートコード実行(RCE)が可能な脆弱性が発見されました。攻撃者は /docs/api.json へのクエリパラメータを通じて内部変数を上書きし、任意のPHPコードを実行させることができます。影響を受けるバージョンは 0.13.2 以上 0.13.22 未満です。
🔍該当判定
- PHPで開発したWebアプリケーションを運用している
- APIドキュメント自動生成ツール「scramble (dedoc/scramble)」を導入している
- scrambleのバージョンが 0.13.2 以上 0.13.22 未満である
上記いずれにも該当しない → 静観でOK
✅該当時の対応
scrambleを最新バージョン(0.13.22以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】scramble CVE-2026-44262 対応について
お疲れさまです。scrambleに関する脆弱性の情報共有です。
■ 概要
PHPライブラリ「scramble」において、extract() と eval() の不適切な利用により、リモートから任意のコードが実行される脆弱性(CVE-2026-44262)が報告されました。攻撃者は /docs/api.json へのリクエストを通じて内部変数を操作し、コードを実行させることが可能です。
■ 影響範囲
- 対象製品: scramble
- 対象バージョン: >=0.13.2, <0.13.22
■ 対応手順
1. 利用しているscrambleのバージョンを確認してください。
2. 脆弱性が修正された最新バージョン(0.13.22以降)へアップデートを適用してください。
■ 参考情報
- Advisory: https://github.com/advisories/GHSA-4rm2-28vj-fj39
対応優先度: 高
対応期限: 速やかに
お疲れさまです。scrambleに関する脆弱性の情報共有です。
■ 概要
PHPライブラリ「scramble」において、extract() と eval() の不適切な利用により、リモートから任意のコードが実行される脆弱性(CVE-2026-44262)が報告されました。攻撃者は /docs/api.json へのリクエストを通じて内部変数を操作し、コードを実行させることが可能です。
■ 影響範囲
- 対象製品: scramble
- 対象バージョン: >=0.13.2, <0.13.22
■ 対応手順
1. 利用しているscrambleのバージョンを確認してください。
2. 脆弱性が修正された最新バージョン(0.13.22以降)へアップデートを適用してください。
■ 参考情報
- Advisory: https://github.com/advisories/GHSA-4rm2-28vj-fj39
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] scramble CVE-2026-44262 Remediation
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in the 'scramble' PHP library.
■ Overview
A Remote Code Execution (RCE) vulnerability (CVE-2026-44262) has been identified in scramble. The flaw allows an attacker to overwrite internal variables via query parameters on /docs/api.json, leading to arbitrary PHP code execution through the combination of extract() and eval().
■ Scope
- Product: scramble
- Affected Versions: >=0.13.2, <0.13.22
■ Remediation Steps
1. Verify the version of scramble currently in use.
2. Update the library to the latest patched version (0.13.22 or higher).
■ Reference
- Advisory: https://github.com/advisories/GHSA-4rm2-28vj-fj39
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in the 'scramble' PHP library.
■ Overview
A Remote Code Execution (RCE) vulnerability (CVE-2026-44262) has been identified in scramble. The flaw allows an attacker to overwrite internal variables via query parameters on /docs/api.json, leading to arbitrary PHP code execution through the combination of extract() and eval().
■ Scope
- Product: scramble
- Affected Versions: >=0.13.2, <0.13.22
■ Remediation Steps
1. Verify the version of scramble currently in use.
2. Update the library to the latest patched version (0.13.22 or higher).
■ Reference
- Advisory: https://github.com/advisories/GHSA-4rm2-28vj-fj39
Priority: High
Deadline: Immediate