近期,PHP 官方发布安全更新,修复了多个安全漏洞,涉及 PHP-FPM、MBString、PDO_Firebird、SOAP、Standard 等多个模块,漏洞编号包括 CVE-2026-6722、CVE-2026-7261、CVE-2026-7262、CVE-2026-6735、CVE-2026-7259、CVE-2025-14179、CVE-2026-7568、CVE-2026-7258 等。
其中,CVE-2026-6722 风险较高,该漏洞位于 PHP SOAP 扩展中,在特定条件下可能造成远程代码执行风险;同时,本次更新还修复了 PHP-FPM 状态页 XSS、MBString 空指针解引用、PDO_Firebird SQL 注入、SOAP 相关内存问题等多个安全问题。PHP 官方已将本次更新标记为 security release,建议正在使用 PHP 8.2-PHP 8.5 版本的用户及时检查当前小版本,并根据实际情况进行升级处理。
本次重点关注的 CVE-2026-6722 漏洞位于 PHP 的 SOAP 扩展中。
根据公开信息,该漏洞与 SOAP 扩展中的 Use-After-Free 问题有关。在启用 SOAP 扩展,并对外提供 SOAP 服务的场景下,如果攻击者能够控制 SOAP 请求内容,可能触发内存破坏问题,进一步造成进程异常、信息泄露,甚至存在远程代码执行风险。
SOAP 扩展并不一定在所有 PHP 环境中默认启用,但在部分企业系统、ERP、支付接口、WebService、老旧业务系统或接口对接场景中较为常见。如果服务器启用了 PHP SOAP 扩展,且相关服务会处理外部请求,建议优先关注该漏洞。
除 CVE-2026-6722 外,本次 PHP 安全更新还修复了 PHP-FPM、MBString、PDO_Firebird、SOAP、Standard 等模块中的多个安全问题。考虑到 PHP-FPM 在常见 Nginx + PHP 网站环境中使用较多,MBString、Standard 等模块在实际业务中也较为常见,因此即使业务未使用 SOAP,也建议用户检查当前 PHP 版本并及时升级。
注:本文不提供漏洞 POC 和完整利用细节,相关信息请自行关注官方安全公告。
本次 PHP 安全更新重点修复以下漏洞:
CVE-2026-6722影响模块:SOAP漏洞类型:Use-After-Free / 内存安全问题影响风险:在特定条件下可能造成远程代码执行重点关注场景:启用 PHP SOAP 扩展,并对外提供 SOAP 服务的环境
CVE-2026-7261影响模块:SOAP漏洞类型:Use-After-Free影响风险:在 SOAP_PERSISTENCE_SESSION 场景下,可能导致内存破坏、信息泄露或进程异常重点关注场景:启用 SOAP,并使用持久化 Session 相关配置的环境
CVE-2026-7262影响模块:SOAP漏洞类型:NULL 指针相关问题影响风险:在特定 SOAP typemap 配置场景下,可能导致拒绝服务重点关注场景:启用 SOAP,并使用 typemap 相关配置的环境
CVE-2026-6735影响模块:PHP-FPM漏洞类型:状态页 XSS影响风险:攻击者可能构造特殊 URL,在目标查看 PHP-FPM 状态页时触发脚本执行重点关注场景:开启 PHP-FPM status page,且状态页可被访问的环境
CVE-2026-7259影响模块:MBString漏洞类型:NULL 指针解引用影响风险:在特定编码处理场景下,可能导致 PHP 进程异常或拒绝服务重点关注场景:业务中使用 mbstring、多字节正则或相关编码处理能力的环境
CVE-2025-14179影响模块:PDO_Firebird漏洞类型:SQL 注入影响风险:在 quoted strings 中处理 NUL 字节时可能造成 SQL 注入风险重点关注场景:使用 PHP PDO_Firebird 连接 Firebird 数据库的环境
CVE-2026-7568影响模块:Standard漏洞类型:整数溢出 / 内存边界相关问题影响风险:在特定字符数组偏移处理场景下,可能导致异常行为重点关注场景:依赖相关标准库函数处理外部输入的环境
CVE-2026-7258影响模块:Standard漏洞类型:ctype 相关边界问题影响风险:在特定平台或特定输入条件下,可能导致越界访问或拒绝服务重点关注场景:业务中大量处理外部字符输入、编码转换或 URL 解码的环境
从风险严重程度来看,CVE-2026-6722 更值得重点关注;从用户使用规模来看,PHP-FPM、MBString、Standard 等模块在常见 PHP 网站环境中使用较多,因此也建议同步检查相关配置与当前 PHP 版本。
虽然不同漏洞影响条件有所差异,但从整体安全角度来看,建议正在使用受影响 PHP 版本的用户尽快完成版本检查与升级。
受影响版本:
PHP 8.2 系列:低于 8.2.31 的版本PHP 8.3 系列:低于 8.3.31 的版本PHP 8.4 系列:低于 8.4.21 的版本PHP 8.5 系列:低于 8.5.6 的版本
建议升级版本:
PHP 8.2.31 及以上版本PHP 8.3.31 及以上版本PHP 8.4.21 及以上版本PHP 8.5.6 及以上版本
如果您不确定当前环境是否受影响,建议先检查服务器中正在使用的 PHP 版本。可在终端中执行以下命令查看:
php -v
如果服务器中通过宝塔面板安装了多个 PHP 版本,也可以分别检查对应版本,例如:
/www/server/php/82/bin/php -v/www/server/php/83/bin/php -v/www/server/php/84/bin/php -v
/www/server/php/85/bin/php -v
1. 自行源码编译安装的用户,可以重新拉取 PHP 官方对应分支的最新源码进行编译升级。建议升级至:
PHP 8.2.31 及以上版本PHP 8.3.31 及以上版本PHP 8.4.21 及以上版本PHP 8.5.6 及以上版本
升级前请确认当前业务所依赖的 PHP 扩展、配置文件、运行用户、PHP-FPM 配置以及站点兼容性,避免升级后因扩展缺失或配置差异导致业务异常。
请打开 软件商店 - 已安装,找到当前正在使用的 PHP 版本。
如当前 PHP 版本低于安全版本,建议根据面板提示进行更新。
如果当前环境中安装了多个 PHP 版本,请分别检查实际被站点使用的 PHP 版本,避免只升级了未使用的版本。升级完成后,建议重新检查 PHP 版本,并观察站点运行状态是否正常。
注意:
PHP 更新过程中可能涉及 PHP-FPM 重启,短时间内可能影响网站访问。建议在业务低峰期处理,并提前做好数据和配置备份。