JMESPathにおける複数の脆弱性
| Title |
JMESPathにおける複数の脆弱性
|
| Summary |
jmespath.php は、PHP アプリケーション内で PHP のデータ構造を使い JSON ドキュメントから要素を宣言的に抽出するための JMESPath を利用可能にするソフトウェアです。2.9.1 より前のバージョンでは、攻撃者が制御する JMESPath 式を用いて `JmesPath\CompilerRuntime` を使用すると、攻撃者が制御可能な PHP コードを生成・実行してしまう可能性がありました。コンパイラは解析された JMESPath 関数名を十分にエスケープせずに生成された PHP ソースに挿入します。巧妙に作成された式により生成されたキャッシュファイルに攻撃者制御の実行可能な PHP コードが含まれ、それをコンパイラランタイムが読み込みます。この問題は `2.9.1` 以降で修正されています。回避策として、`JP_PHP_COMPILE` を無効にし、攻撃者制御の式で `JmesPath\CompilerRuntime` を使用しないでください。信頼できない式にはデフォルトの `AstRuntime` を使用してください。アップグレード前に信頼できない JMESPath 式の受け入れを続ける必要があるアプリケーションでは、それらの式がコンパイラランタイムで評価されないことを確実にしてください。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 12, 2026, midnight |
| Registration Date |
June 16, 2026, 1:39 p.m. |
| Last Update |
June 16, 2026, 1:39 p.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| JMESPath |
|
JMESPath 2.9.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月16日]
掲載 |
June 16, 2026, 1:39 p.m. |
NVD Vulnerability Information
CVE-2026-54133
| Summary |
jmespath.php allows users to use JMESPath, software for declaratively specifying how to extract elements from a JSON document, in PHP applications with PHP data structures. Versions prior to 2.9.1 can generate and execute attacker-controlled PHP code when `JmesPath\CompilerRuntime` is used with an attacker-controlled JMESPath expression. The compiler emits parsed JMESPath function names into generated PHP source without sufficient escaping. A crafted expression can cause the generated cache file to contain executable attacker-controlled PHP, which is then loaded by the compiler runtime. The issue is patched in `2.9.1` and later. As a workaround, disable `JP_PHP_COMPILE` and do not use `JmesPath\CompilerRuntime` with attacker-controlled expressions. Use the default `AstRuntime` for untrusted expressions. Applications that must continue accepting untrusted JMESPath expressions before upgrading should ensure those expressions are never evaluated by the compiler runtime.
|
| Publication Date |
June 13, 2026, 12:16 a.m. |
| Registration Date |
June 13, 2026, 4:17 a.m. |
| Last Update |
June 16, 2026, 3:09 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:jmespath:jmespath:*:*:*:*:*:php:*:* |
|
|
|
2.9.1 |
Related information, measures and tools
Common Vulnerabilities List