Специалисты по кибербезопасности бьют тревогу: в интерпретаторе языка программирования PHP обнаружена критическая уязвимость, которая позволяет злоумышленнику удалённо получить доступ к защищаемой информации или парализовать работу веб-приложений. Проблеме присвоен идентификатор BDU:2026-08445, а также номер CVE-2026-7261. Речь идёт об ошибке класса SoapServer - встроенного компонента PHP для работы с протоколом SOAP (протокол обмена структурированными сообщениями на основе XML).
Детали уязвимости
Причина уязвимости кроется в типичной для низкоуровневого программирования ошибке - использовании памяти после её освобождения (Use-After-Free). В данном случае проблема возникает при обработке параметра SOAP_PERSISTENCE_SESSION, который отвечает за сохранение состояния сессий SOAP. Если отправить специально сформированный запрос, память, уже освобождённая для нужд другого процесса, может быть использована некорректно. В результате нарушитель может либо прочитать закрытые данные из области памяти, либо вызвать отказ в обслуживании.
Оценка серьёзности по шкале CVSS 3.1 достигла 9,8 балла из 10 - это критический уровень опасности. Атака не требует предварительной аутентификации и может быть проведена удалённо через сеть. Базовый вектор CVSS 2.0 также максимален - 10 баллов. Такая оценка означает, что эксплуатировать уязвимость можно сравнительно легко, а ущерб от неё способен затронуть и конфиденциальность, и доступность системы.
Под удар попали все версии PHP до 8.2.31, 8.3.31, 8.4.21 и 8.5.6. Кроме того, уязвимость подтверждена для операционных систем Debian GNU/Linux версий 11 и 13. Учитывая, что PHP работает на миллионах сайтов и корпоративных приложений по всему миру, потенциальный масштаб угрозы огромен.
Разработчики из PHP Group уже устранили проблему. В официальном репозитории PHP на платформе GitHub опубликованы рекомендации по безопасности (security advisory) с идентификатором GHSA-m33r-qmcv-p97q. Пользователям Debian также доступно обновление через официальный трекер безопасности Debian. Единственный надёжный способ защиты - немедленное обновление программного обеспечения до исправленных версий. Производитель подтвердил статус уязвимости и выпустил необходимые патчи. Наличие готового эксплойта (вредоносной программы, автоматизирующей атаку) пока не подтверждено, но история показывает, что после публикации деталей уязвимости код для её эксплуатации обычно появляется в течение нескольких дней.
Чем опасна ошибка Use-After-Free в данном контексте? При обработке сложных запросов SOAP-сервер создаёт временные структуры данных в памяти. Если после освобождения одной такой структуры злоумышленнику удаётся вставить в то же место подконтрольные данные, при следующем обращении к этому участку памяти PHP-интерпретатор выполнит команды, заданные нарушителем. В результате атакующий может получить не только несанкционированный доступ к файлам, но и выполнить произвольный код на сервере.
Особое внимание следует обратить на то, что уязвимость затрагивает не только сам PHP, но и экосистему Debian. Многие организации используют эту операционную систему для корпоративных веб-серверов. Задержка с обновлением может привести к взлому всей инфраструктуры. Компаниям, где PHP используется совместно с веб-сервером Apache или Nginx, необходимо провести аудит версий и как можно скорее применить обновления.
В заключение стоит подчеркнуть: хотя уязвимость раскрыта и исправлена, именно период между публикацией данных и массовым обновлением является самым опасным. Злоумышленники уже начали анализировать патчи, чтобы создать рабочий эксплойт. Руководителям IT-отделов и специалистам по кибербезопасности следует рассматривать эту угрозу как приоритетную, включить обновление PHP в ближайшее окно изменений и, по возможности, временно отключить обработку SOAP-запросов, если это не нарушит работу бизнес-приложений.
Ссылки
- https://bdu.fstec.ru/vul/2026-08445
- https://www.cve.org/CVERecord?id=CVE-2026-7261
- https://github.com/php/php-src/security/advisories/GHSA-m33r-qmcv-p97q
