Krytyczna luka w PHP (CVE-2026-6722) umożliwiająca zdalne wykonanie kodu

Krytyczna luka w PHP (CVE-2026-6722) w rozszerzeniu SOAP pozwala na zdalne wykonanie kodu. Zalecane szybkie aktualizacje i monitorowanie systemów.
CVE-2026-6722CVSS 9.5Web

Krytyczna luka w PHP (CVE-2026-6722) umożliwiająca zdalne wykonanie kodu

Krytyczna luka w PHP (CVE-2026-6722) w rozszerzeniu SOAP pozwala na zdalne wykonanie kodu. Zalecane szybkie aktualizacje i monitorowanie systemów.

CVSS
9.5 CRITICAL
EPSS
50.07%
Aktywnie wykorzystywana
brak w KEV
Produkt
php

Co wiadomo

W PHP w wersjach 8.2.* przed 8.2.31, 8.3.* przed 8.3.31, 8.4.* przed 8.4.21 oraz 8.5.* przed 8.5.6 wykryto krytyczną lukę w rozszerzeniu SOAP. Błąd w mechanizmie deduplikacji obiektów może prowadzić do użycia zwolnionej pamięci, co atakujący mogą wykorzystać do zdalnego wykonania kodu.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.5) zagraża serwerom PHP obsługującym SOAP, umożliwiając atakującemu przejęcie kontroli nad systemem. Może to skutkować poważnymi naruszeniami bezpieczeństwa, w tym utratą danych i przerwami w działaniu usług webowych.

Rekomendowane działania administratora

Zaleca się pilne sprawdzenie dostępności aktualizacji PHP i ich wdrożenie do wersji zawierających poprawkę. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz ekspozycję usług SOAP, monitoruj logi pod kątem podejrzanej aktywności oraz priorytetyzuj działania naprawcze.

Źródła