Экстренное предупреждение распространили исследователи кибербезопасности: в популярном языке программирования PHP выявлены две опасные уязвимости, позволяющие злоумышленникам осуществлять SQL-инъекции и масштабные атаки на отказ в обслуживании. Уязвимости затрагивают ключевые расширения pgsql и SOAP, встроенные в стандартные поставки PHP.
По данным аналитиков, риску подвержены миллионы веб-серверов по всему миру, использующие устаревшие версии платформы. Первая брешь, зарегистрированная под идентификатором CVE-2025-1735, обнаружена в модуле pgsql, отвечающем за взаимодействие с базами данных PostgreSQL. Проблема кроется в фатальной ошибке обработки пользовательских данных: функция PQescapeStringConn() игнорирует проверку кодировок, а вызовы PQescapeIdentifier() не отслеживают NULL-возвраты. Это создает двойную угрозу - злоумышленник может внедрить вредоносный SQL-код для кражи или подмены информации в БД, либо спровоцировать аварийное завершение работы приложения через передачу специально сформированных запросов.
Вторая уязвимость, CVE-2025-6491, обнаружена в SOAP-расширении, используемом для обработки веб-сервисов. Эксплуатация основана на уязвимости библиотеки libxml2 версий ниже 2.13: при создании объекта SoapVar с пространством имен объемом свыше 2 ГБ возникает разыменование нулевого указателя. Результатом становится немедленный краш процесса с формированием ошибки сегментации. Злоумышленникам достаточно отправить специально сконструированный SOAP-запрос, чтобы вывести сервер из строя. Особую опасность представляет то, что для атаки не требуется аутентификация или сложные инструменты - достаточно стандартных средств отправки сетевых пакетов.
Обе уязвимости классифицированы как умеренно опасные, но их комбинированное воздействие способно парализовать инфраструктуру. Эксперты подчеркивают, что риску подвержены все версии PHP ниже 8.1.33, 8.2.29, 8.3.23 и 8.4.10. Критичность ситуации усугубляется повсеместным использованием PHP в CMS (WordPress, Joomla, Drupal), фреймворках (Laravel, Symfony) и корпоративных системах. Учитывая, что SQL-инъекции остаются в топе OWASP Top-10, а DoS-атаки способны останавливать бизнес-процессы, промедление с обновлениями недопустимо.
Команда разработчиков PHP оперативно выпустила патчи в версиях 8.1.33, 8.2.29, 8.3.23 и 8.4.10. Меры включают внедрение строгой валидации ошибок кодирования в pgsql и ограничение размера обрабатываемых XML-префиксов в SOAP. Однако установка исправлений - лишь первый шаг. Администраторам настоятельно рекомендуется провести аудит кода: проверить все места вызова функций pg_escape_string() и pg_escape_identifier(), а также проанализировать обработку SOAP-запросов на предмет отсутствия фильтрации входных данных. Мониторинг журналов ошибок на предмет аномальных сбоев должен стать ежедневной практикой.
Косвенной причиной уязвимостей эксперты называют устаревшие зависимости. Так, проблема в SOAP-модуле напрямую связана с использованием libxml2 старше 2.13. Это подчеркивает необходимость комплексного подхода к обновлениям: недостаточно патчить только PHP, требуется синхронная модернизация всех связанных библиотек. Для временной защиты специалисты советуют на уровне WAF-решений блокировать запросы с аномально длинными пространствами имен XML и подозрительными SQL-шаблонами.
В условиях растущей угрозы корпоративным командам безопасности следует пересмотреть политики управления исправлениями. Автоматизированное развертывание патчей через Ansible, Puppet или Kubernetes становится не просто рекомендацией, а обязательным требованием. Факт, что уязвимости затрагивают одновременно четыре минорные ветки PHP, свидетельствует о системной проблеме в процессах разработки. Это тревожный сигнал для индустрии: даже в зрелых проектах с миллионами строк кода остаются неочевидные уязвимости, на поиск которых уходят годы.
Ситуация требует немедленных действий на трех уровнях: оперативное обновление серверов, тщательный аудит веб-приложений и усиление мониторинга сетевой активности. Задержка даже на несколько дней дает злоумышленникам критическое окно для атак. Как показывает история с уязвимостью Log4Shell, эксплойты для подобных брешей появляются в даркнете в течение 72 часов после публикации деталей. Остается надеяться, что сообщество разработчиков усвоит урок и усилит тестирование обработки экстремальных значений во всех модулях. Без этого доверие к экосистеме PHP, на которой работает 77% всех сайтов интернета, может быть серьезно подорвано.
