文章总结： 近期披露的PHPSOAP扩展漏洞（如CVE-2026-6722高危释放后重用漏洞）可导致远程代码执行，同时PHP核心也存在多个中危漏洞。影响8.2.31、8.3.31、8.4.21和8.5.6之前的版本，建议立即升级至修复版本。 综合评分： 90 文章分类： 漏洞分析,漏洞预警,应用安全,解决方案,web安全

PHP SOAP扩展漏洞或致远程代码执行

网安百色

2026年5月12日 18:22 广西

在小说阅读器读本章

去阅读

近期披露的PHP漏洞，尤其是其广泛使用的SOAP扩展中的缺陷，已引发网络安全界的严重警报。

新发现的漏洞中包含一个高危漏洞，可能使攻击者在受影响服务器上实现远程代码执行（RCE）。

研究人员还在PHP核心模块中发现了多个中危漏洞，包括释放后重用（UAF）错误、空指针解引用和越界读取等问题。

网络安全专业人员及系统管理员请立即应用补丁，防止系统遭潜在利用。历史数据显示，PHP SOAP扩展长期是攻击者的主要目标，例如CVE-2021-21702漏洞曾使攻击者通过畸形XML实现未认证的拒绝服务攻击。

XML处理的复杂性持续引入隐蔽的内存管理缺陷，高级威胁行为者可将其武器化。

PHP SOAP扩展漏洞 最新公布的漏洞中，最严重的是CVE-2026-6722——ext-soap包中的高危释放后重用（UAF）漏洞。

该问题源于扩展使用id和href属性对XML图谱中的对象进行去重时的处理逻辑。

在XML图谱遍历过程中，PHP将普通对象存储在名为SOAP_GLOBAL(ref_map)的哈希表中。关键问题在于：内存分配期间未正确增加PHP对象的引用计数。

攻击者可利用Apache映射机制覆盖现有表项并提前释放对象，从而利用缺失的引用计数增量。

通过精心构造XML载荷，使节点对过期对象进行求值后立即用NULL覆盖，引用表中的指针将失效。攻击者随后可利用href属性指向该过期内存。

当攻击者向已释放内存分配普通字符串时，威胁行为者即可获得对该内存段的高精度控制。

这种深度内存操作为远程代码执行创造了高度可靠的路径，有效绕过标准内存保护机制。

其他SOAP及PHP核心漏洞 除严重RCE漏洞外，研究人员还发现CVE-2026-7261——与SoapServer会话持久化功能相关的中危UAF漏洞。SOAP_PERSISTENCE_SESSION标志允许开发者在会话存储中保留SOAP处理程序对象。

但当处理函数返回false或抛出致命异常时，soap.c组件未能正确处理该标志。

此疏漏导致对象被释放后仍错误写入会话存储，形成释放后重用场景。

尽管需特定服务器配置才能完全武器化，但对维护复杂会话状态的应用仍构成重大风险。

另一SOAP相关漏洞CVE-2026-7262涉及Apache映射解码器中的空指针解引用。to_zval_map()函数虽能正确检查缺失键值，但未充分验证缺失节点。

若目标服务器配置了类型映射，攻击者可嵌入故意缺失值的Apache:Map节点，导致处理线程崩溃。这为无需用户交互的拒绝服务（DoS）攻击提供了简易攻击向量。

除SOAP扩展外，PHP其他核心函数中还发现两个越界读漏洞。CVE-2026-7258影响标准urldecode()函数。

向isxdigit()函数传递未经无符号字符转换的负值字符，将导致有符号整数扩展，在NetBSD等平台上触发越界内存读取。

此外，CVE-2026-6104是mb_convert_encoding()中的全局缓冲区溢出读取漏洞。当攻击者提供嵌入空字节的编码名称时，strncasecmp函数会提前终止，导致PHP读取超出目标缓冲区的相邻全局内存。

这些内存破坏和逻辑漏洞影响当前多个PHP版本，存在于8.2.31、8.3.31、8.4.21和8.5.6之前的PHP版本中。

任何依赖SOAP扩展或通过URL解码、多字节字符串转换函数处理不可信输入的应用均存在潜在风险。

PHP开发团队已在最新版本中通过实施更严格的内存安全检查修复了这些问题。系统管理员及Web主机请将PHP升级至补丁版本：8.2.31、8.3.31、8.4.21或8.5.6。

CVE ID 严重程度 (CVSS) 漏洞类型 攻击类型 攻击向量 CVE-2026-6722 高 CWE-416: 释放后重用 远程代码执行 (RCE) 网络 CVE-2026-7261 中 释放后重用 释放后重用 网络 CVE-2026-7262 中 空指针解引用 拒绝服务 (DoS) 网络 CVE-2026-7258 中 CWE-125: 越界读取 越界读取 网络 CVE-2026-6104 中 CWE-125: 越界读取 信息泄露 网络 针对高危SOAP漏洞的修复方案，是在将对象添加至全局引用表前主动增加其引用计数，并在流程结束时配置安全的对象释放机制。

这些漏洞的发现与快速修复，凸显了开源安全研究社区的协作成果。

漏洞报告由研究人员负责任披露，包括BrettGervasoni（CVE-2026-6722）、iliaal（CVE-2026-7261和CVE-2026-7262）、xfourj（CVE-2026-7258）及AkshayJainG（CVE-2026-6104）。核心修复补丁由iluuu1994开发，ndossche参与审核。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《PHP SOAP扩展漏洞或致远程代码执行》