【2026年1月版】PHP8.1の脆弱性情報一覧

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事では、PHP8.1の脆弱性情報をまとめたもので、2026年1月15日に改訂しています。

PHPとはWebサイトやアプリを開発する際に広く採用されているプログラミング言語であり、Webサーバー上で動いてプログラムを実行するサーバーサイドスクリプト言語に分類されます。
このPHPは、WordPressを始めとする主要なCMS（コンテンツ・マネジメント・システム）の多くがPHPで開発されていることから、Webサイトを運用する皆さんにとっても重要な言語と言えるでしょう。

安全で円滑なWebサイトの運用のためには、PHPを最新バージョンへとアップデートする必要があります。

この記事では、企業のWeb担当者の皆様が、ご使用になられているPHP8.1系統の脆弱性を簡単に把握できるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

2026年1月15日現在、PHP8.1系統の最新バージョンは8.1.34です。

PHP8.1系統の、セキュリティサポート期限は、2025年12月31日であり、PHP公式によるサポート期間は終了（EOL）しています。

ご使用になられているPHPのバージョンが8.1.33以下の場合には、重要レベル以上の脆弱性が存在する可能性があります。

当社が把握しているPHP8.1系統の脆弱性情報は次の通りです。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v4.0ないしv3.xに基づいています（上記表ではv4、v3と省略）。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠していますが、NVDにてスコアリングされていない場合、PHP Groupのスコアに準拠しています。
※原則としてNVDのページを正としてリンクを掲載していますが、JVNに掲載されていて、NVDと矛盾していない場合にはJVNのリンクを掲載しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

PHP 8.1 は、2025年12月31日をもって公式サポート（EOL）を迎えました。
これ以降、新たな脆弱性が発見された場合であっても、PHP公式から修正パッチが提供されることはありません。

もっとも、EOLを迎えたPHPバージョンであっても、直ちに危険な状態になるとは限りません。
OSによっては、セキュリティサポートが終了したミドルウェアに対しても、緊急性・重大性の高い脆弱性に限り、バックポートと呼ばれる方式で修正を適用するケースがあるためです。

しかしながら、Webサーバーで広く利用されているAmazon Linux 2023、RHEL（Red Hat Enterprise Linux）、AlmaLinux OS、Rocky Linuxにおいては、PHP 8.1はすでに公式なサポート対象の範囲外となっており、EOL後のPHP 8.1に対して継続的なセキュリティ修正が提供されることは事実上期待できません。
※詳細については、コラム「EOLになったPHPバージョンとOSによるバックポートについて」をご覧ください。

このため、現在PHP 8.1をご利用の場合には、PHP 8.2以降へのバージョンアップ、または対応環境へのマイグレーションを早期に検討することを推奨します。

PHPのバージョンアップは複雑な作業工程を伴うため、安全に行うためには専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側（WebサイトやCMS等）を専門としていますので、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。