エグゼクティブサマリ PHPの脆弱性CVE-2018-17082はXSSとして報告されているが、現実にはXSSとしての攻撃経路はない。一方、Apacheのmod_cacheによるキャッシュ機能を有効にしているサイトでは、キャッシュ汚染という攻撃を受ける可能性がある。 概要 PHPの現在サポート中のすべてのバージョンについて、XSS脆弱性CVE-2018-17082が修正されました。以下は対応バージョンであり、これより前のすべてのバージョンが影響を受けます。ただし、Apacheとの接続にApache2handlerを用いている場合に限ります。 PHP 5.6.38 PHP 7.0.32 PHP 7.1.22 PHP 7.2.10 PHP 5.5以前も対象であり、これらは脆弱性は修正されていません。 脆弱性を再現させてみる この脆弱性のPoCは、当問題のバグレポートにあります。 PHP ::
![PHPの脆弱性 CVE-2018-17082 によるキャッシュ汚染についての注意喚起](https://cdn-ak-scissors.b.st-hatena.com/image/square/20a7f70ccb2c98068ff8d148caea5d472d06cfd6/height=288;version=1;width=512/https%3A%2F%2F4.bp.blogspot.com%2F-b8tVVdx2bgk%2FW6iObXt1jII%2FAAAAAAAAQCQ%2Ftd4JklhiTbkqI_S-PkLQ2RE-Ubb8TwrLwCLcBGAs%2Fw1200-h630-p-k-no-nu%2Fcache-poisoning-attack.png)