Krytyczna luka w PHP (CVE-2026-6722) umożliwiająca zdalne wykonanie kodu
Krytyczna luka w PHP (CVE-2026-6722) w rozszerzeniu SOAP pozwala na zdalne wykonanie kodu. Zalecane szybkie aktualizacje i monitorowanie systemów.
- CVSS
- 9.5 CRITICAL
- EPSS
- 50.07%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- php
Co wiadomo
W PHP w wersjach 8.2.* przed 8.2.31, 8.3.* przed 8.3.31, 8.4.* przed 8.4.21 oraz 8.5.* przed 8.5.6 wykryto krytyczną lukę w rozszerzeniu SOAP. Błąd w mechanizmie deduplikacji obiektów może prowadzić do użycia zwolnionej pamięci, co atakujący mogą wykorzystać do zdalnego wykonania kodu.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.5) zagraża serwerom PHP obsługującym SOAP, umożliwiając atakującemu przejęcie kontroli nad systemem. Może to skutkować poważnymi naruszeniami bezpieczeństwa, w tym utratą danych i przerwami w działaniu usług webowych.
Rekomendowane działania administratora
Zaleca się pilne sprawdzenie dostępności aktualizacji PHP i ich wdrożenie do wersji zawierających poprawkę. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz ekspozycję usług SOAP, monitoruj logi pod kątem podejrzanej aktywności oraz priorytetyzuj działania naprawcze.