製品・ソフトウェアに関する情報

JVN脆弱性詳細

guzzlephpのguzzleにおける複数の脆弱性

Title	guzzlephpのguzzleにおける複数の脆弱性
Summary	Guzzleは拡張可能なPHP HTTPクライアントです。7.12.1以前の特定の設定では、プロキシへのホップでTLSにより保護されることが期待されるトラフィックが平文で送信されてしまいます。プロキシ認証情報（Proxy-Authorizationヘッダー、プロキシURL内のプロキシユーザー情報、またはCURLOPT_PROXYUSERPWD）は暗号化されることなく送信され、トンネル化されたHTTPSリクエストのCONNECTターゲットホストとポートが露出します。組み込みのcURLハンドラー（GuzzleHttp\Handler\CurlHandlerおよびGuzzleHttp\Handler\CurlMultiHandler、PHPのcURL拡張が利用可能な場合にデフォルトで使用される）はhttps://プロキシを受け入れますが、7.50.2より古いlibcurlはhttps://プロキシを平文のhttp://プロキシとして静かに扱います。プロキシへのTLS接続は確立されず、その結果プロキシ側の通信は警告やエラーなしに平文で行われます。アプリケーションはこれらの組み込みcURLハンドラーのいずれかを通してリクエストを送信し、プロキシ接続自体の暗号化を期待してhttps://プロキシを設定し、7.50.2より古いlibcurlで実行される場合に影響を受けます。この脆弱性は7.12.1で修正されました。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 23, 2026, midnight
Registration Date	June 29, 2026, 11:11 a.m.
Last Update	June 29, 2026, 11:11 a.m.

CVSS3.0 : 警告
Score	5.9
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Affected System

guzzlephp

guzzle 7.12.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-55568	https://www.cve.org/CVERecord?id=CVE-2026-55568
National Vulnerability Database (NVD)
2	CVE-2026-55568	https://nvd.nist.gov/vuln/detail/CVE-2026-55568

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-311	https://cwe.mitre.org/data/definitions/311.html
2	CWE-319	https://cwe.mitre.org/data/definitions/319.html
3	CWE-636	https://cwe.mitre.org/data/definitions/636.html

ベンダー情報

No	Name	URL
GitHub
1	Silent HTTPS-Proxy Downgrade to Cleartext in guzzlehttp/guzzle Advisory guzzle/guzzle GitHub	https://github.com/guzzle/guzzle/security/advisories/GHSA-wpwq-4j6v-78m3

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:11 a.m.

NVD Vulnerability Information

CVE-2026-55568

Summary	Guzzle is an extensible PHP HTTP client. Prior to 7.12.1, in certain configurations, traffic expected to be protected by TLS on the hop to the proxy is transmitted in cleartext. Proxy authentication credentials (the Proxy-Authorization header, proxy userinfo in the proxy URL, or CURLOPT_PROXYUSERPWD) are sent without encryption, and the CONNECT target host and port for tunneled HTTPS requests are exposed. The built-in cURL handlers (GuzzleHttp\Handler\CurlHandler and GuzzleHttp\Handler\CurlMultiHandler, used by default whenever the PHP cURL extension is available) accept an https:// proxy. libcurl older than 7.50.2 silently treats an https:// proxy as a plaintext http:// proxy. The TLS connection to the proxy is never established, and the proxy leg is cleartext with no error or warning. An application is affected when it sends requests through one of the built-in cURL handlers, configures an https:// proxy expecting the proxy connection itself to be encrypted, and runs with libcurl older than 7.50.2. This vulnerability is fixed in 7.12.1.
Publication Date	June 24, 2026, 1:17 a.m.
Registration Date	June 27, 2026, 4:13 a.m.
Last Update	June 27, 2026, 4:34 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:guzzlephp:guzzle::::::::					7.12.1

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/guzzle/guzzle/security/advisories/GHSA-wpwq-4j6v-78m3	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-319	重要な情報の平文での送信	https://cwe.mitre.org/data/definitions/319.html
2	CWE-311	重要なデータの暗号化の欠如	https://cwe.mitre.org/data/definitions/311.html
3	CWE-636	安全でない失敗処理	https://cwe.mitre.org/data/definitions/636.html