Команда разработчиков языка PHP выпустила корректирующие релизы для всех актуальных веток - 8.2.31, 8.3.31, 8.4.21 и 8.5.6. Обновления вышли 7 мая 2026 года и закрывают в общей сложности одиннадцать уязвимостей, зарегистрированных в системе CVE. Бреши затрагивают самые разные компоненты PHP: от протокола SOAP до драйвера PDO_Firebird и подсистемы многобайтовых строк.
Детали уязвимостей
Прежде всего стоит отметить, что под удар попали все версии PHP, начиная с 8.2.0 и заканчивая последними сборками ветки 8.5. Это означает, что риску подвержены миллионы веб-серверов по всему миру. Ведь PHP продолжает оставаться основой для таких популярных систем управления контентом, как WordPress, Joomla и Drupal, а также для множества самописных приложений.
Самую высокую степень опасности несут уязвимости, позволяющие выполнить межсайтовый скриптинг (XSS) и SQL-инъекцию (SQLi - внедрение вредоносного кода в запросы к базе данных). В частности, проблема CVE-2026-6735 затрагивает механизм PHP-FPM (менеджер процессов PHP). Ошибка в эндпоинте состояния даёт атакующему возможность вставить произвольный скрипт, который будет выполнен в браузере жертвы. Это классический вектор для кражи сессионных cookie и подмены содержимого страниц.
Другая серьёзная брешь - CVE-2025-14179 - обнаружена в драйвере PDO_Firebird. При обработке строк, содержащих пустые байты (NUL), возникает SQL-инъекция. Злоумышленник может манипулировать запросами к базе данных Firebird, что приводит к несанкционированному доступу, изменению или удалению информации. Стоит подчеркнуть, что данный драйвер используется сравнительно редко, но для тех проектов, где он задействован, угроза критична.
Не обошлось и без уязвимостей, ведущих к удалённому отказу в обслуживании (DoS). В подсистеме многобайтовых строк (MBString) найдена ошибка разыменования нулевого указателя CVE-2026-7259. Она вызывается через функцию mb_ereg_search_init(). Вредоносный запрос может привести к аварийному завершению работы интерпретатора. Аналогичная проблема - CVE-2026-7263 - затронула DOM-модуль PHP 8.4 и 8.5. При вызове метода C14N (канонизация XML) дублируются декларации пространств имён, что в определённых сценариях перерастает в уязвимость, хотя издатель не уточнил её точный характер.
Отдельного внимания заслуживает исправление в SOAP-расширении. Сразу три уязвимости (CVE-2026-6722, CVE-2026-7261, CVE-2026-7262) связаны с некорректной работой с указателями и состоянием соединения при использовании Apache-модуля. В частности, ошибка use-after-free (доступ к уже освобождённой памяти) может быть использована для выполнения произвольного кода через манипуляцию заголовками. К счастью, все эти бреши устраняются в выпущенных релизах.
Кроме того, разработчики исправили проблему целочисленного переполнения в стандартной библиотеке (CVE-2026-7568) и ошибку, при которой знаковый тип данных передавался в ctype-функции без корректного преобразования (CVE-2026-7258). Влияние этих дефектов скорее локальное, но в связке с другими эксплойтами они могли использоваться для эскалации привилегий.
В версиях 8.4.21 и 8.5.6 также устранены многочисленные ошибки, вызывающие падения (segmentation fault) в модулях Opcache, Phar, Random, SPL и Streams. Особо отметим исправление CVE-2026-42371 в библиотеке uriparser, которая входит в состав PHP 8.5. Эта уязвимость связана с числовым усечением при сравнении текстовых диапазонов. Она позволяет злоумышленнику обходить проверки URI (единого идентификатора ресурса) и, возможно, проводить атаки типа "обход каталога".
Какие меры стоит предпринять специалистам? В первую очередь необходимо обновить интерпретатор PHP до последних версий: 8.2.31, 8.3.31, 8.4.21 или 8.5.16 - в зависимости от используемой ветки. Для владельцев хостингов и DevOps-инженеров рекомендуется провести аудит конфигураций, особенно активировать механизмы защиты от XSS на уровне веб-сервера и системы управления сессиями. Также стоит проверить, не используется ли драйвер PDO_Firebird в проектах - если да, обновление обязательно.
Важно понимать: злоумышленники активно сканируют интернет на предмет устаревших версий PHP. Комбинация нескольких уязвимостей, особенно XSS и SQL-инъекций, делает цель крайне привлекательной. Промедление с установкой патчей может обернуться утечкой баз данных, захватом управления сайтами и финансовыми потерями.
Разработчики PHP традиционно оперативно реагируют на отчёты об ошибках. В данном случае все исправления вышли в течение нескольких недель после обнаружения брешей. Пользователям остаётся лишь своевременно применять обновления - это единственный надёжный способ сохранить безопасность своих веб-приложений.
Ссылки
- https://www.php.net/ChangeLog-8.php#8.2.31
- https://www.php.net/ChangeLog-8.php#8.3.31
- https://www.php.net/ChangeLog-8.php#8.4.21
- https://www.php.net/ChangeLog-8.php#8.5.6
