Symfonyが一斉に脆弱性を公開。Laravel ユーザーはcomposer update推奨

2026年5月20日、Symfony から大量のセキュリティ脆弱性（CVE）が一斉に公開されました。同時に修正版もリリースされています。

Laravel は内部で Symfony のコンポーネントを大量に使っているため、Laravel アプリを運用している方も無関係ではありません。

Laravel 公式アカウントもこの件について次のように伝えています。

「アプリケーションの依存関係を最新かつ修正済みに保つために、 composer update および composer audit を実行してください」

We are reviewing the CVEs announced and patched by @symfony today.

In the meantime, run and to keep your application’s dependencies up-to-date and patched.

— Laravel (@laravelphp) May 20, 2026

Symfony とは
何が起きたのか
これは攻撃を受けたわけではない
Laravel ユーザーが特に気にすべき脆弱性 2 つ
1. 1. CVE-2026-46626（環境設定の切り替え）
2. 2. CVE-2026-45067（メールアドレスの改行で攻撃可能）
今やったほうがいいこと
1. 本番環境への影響を最小限にしたい場合
こちらはClaude Mythosが発見した！
さいごに

Symfony とは

Symfony は PHP の Web フレームワークの 1 つ。

Laravel が内部で部品として使っています。Laravel アプリを動かすと、裏で Symfony のコードがたくさん動いている、というイメージです。

何が起きたのか

Symfony 公式が Security Advisories ページで、5月20日付で10件以上の脆弱性アドバイザリを一斉に公開しました。同日に修正版もリリースされています。

リリースされた修正版バージョン：

Symfony 5.4.52（旧 LTS）
Symfony 6.4.40（LTS）
Symfony 7.4.12（現行 LTS）
Symfony 8.0.12（最新）
Twig 3.26.0

Posts about Releases (Official Symfony Blog)

Announcements of new Symfony version releases and their full changelogs.

これは攻撃を受けたわけではない

今回は「Symfony が攻撃を受けた」という話ではありません。

セキュリティ研究者が脆弱性を発見して Symfony に報告し、Symfony 側が修正版を準備してから、CVE と修正版を同時に公開した、という流れです。

Laravel ユーザーが特に気にすべき脆弱性 2 つ

今回 10 件以上の CVE が公開されましたが、通常のLaravelアプリ開発で重要なのは下記２点と考えられます。

1. CVE-2026-46626（環境設定の切り替え）

攻撃者が特殊な形のクエリ文字列を送ることで、本番アプリの APP_ENV や APP_DEBUG を勝手に切り替えられてしまう脆弱性です。デバッグモードに切り替えられると、エラー画面から内部情報が漏れる可能性があります。

発動条件の1つとして、php.ini の register_argc_argv が On になっている必要があります。こちらはデフォルトで Off ですが、環境差もあるためアップデート推奨です。

CVE-2026-46626: SymfonyRuntime CVE-2024-50340 Patch Bypass via parse_str/SAPI Argv Mismatch (Symfony Blog)

SymfonyRuntime CVE-2024-50340 Patch Bypass: Web Requests Can Still Set APP_ENV/APP_DEBUG via parse_str/SAPI Argv Mismatch

2. CVE-2026-45067（メールアドレスの改行で攻撃可能）

メールアドレスの中に改行文字を入れることで、追加のメールヘッダーを注入できる脆弱性です。攻撃シナリオはこんな感じです。

お問い合わせフォームの「メールアドレス」欄に、攻撃者が改行付きの文字列を入れる
システムがそのアドレスでメールを送信しようとする
改行のあとに書かれた「Bcc: 攻撃者のアドレス」などが本物のヘッダーとして処理される
結果としてスパム送信の踏み台にされたり、情報漏洩につながる

Laravelの email バリデーションなどで通常のメールアドレス形式に制限していれば、悪用される可能性はかなり下がります。ただし、依存パッケージ自体は更新しておくのが安全です。

CVE-2026-45067: Email Header / SMTP Command Injection via CRLF in Symfony\Component\Mime\Address (Symfony Blog)

Email Header / SMTP Command Injection via CRLF in Symfony\Component\Mime\Address

今やったほうがいいこと

Laravel 公式が推奨している手順は、シンプルにこの 2 つです。

composer update
composer audit

1 2	composer update composer audit

composer update：依存パッケージを最新版に更新。今回の Symfony 修正版も自動的に入る
composer audit：インストール済みパッケージに既知の脆弱性がないか確認

本番環境で実行する前に、必ずローカルやステージングでテストしてから反映してください。

本番環境への影響を最小限にしたい場合

ただ、本番環境で composer update をすると、他のパッケージも一緒に更新されて動作が変わる可能性があります。

影響を抑えたい場合は、次のような流れにします。

—–

1.ローカル/ステージング環境で composer audit を実行

2.脆弱性のリスクがあるパッケージ確認

3.表示されたパッケージを指定してコマンド実行（下記は例。パッケージは続けて指定してもOK）

composer update symfony/mailer --with-dependencies

1	composer update symfony/mailer --with-dependencies

4.テストを実行して動作確認

5.更新されたcomposer.lock を Git にコミット & プッシュ

6.本番環境では composer install を実行

—–

これにより、必要な依存関係を中心に更新しつつ、本番環境への影響を抑えられます。

こちらはClaude Mythosが発見した！

今回のメールの脆弱性について、クレジットの欄にこんな一文が

We would like to thank Claude Mythos Preview (via Project Glasswing) for reporting the issue and providing the fix.

この問題を報告し、修正を提供してくださったClaude Mythos Preview氏（Project Glasswing経由）に感謝いたします。

Claude Mythosは、Anthropicが未公開のまま提供している、セキュリティ特化のフロンティアモデル。Project Glasswingという取り組みで、限られた組織にだけアクセスが提供されています。これまでにOpenBSDの27年もの間見つかっていなかった脆弱性なども発見しているそうです。

今回はこちらのプロジェクトを利用したのではないかと推測されます。