Критична вразливість у PHP SOAP призводить до віддаленого виконання коду

Вразливість CVE-2026-6722 у PHP SOAP дозволяє віддалене виконання коду. Оновіть PHP до безпечних версій для захисту серверів.
CVE-2026-6722CVSS 9.5Web

Критична вразливість у PHP SOAP призводить до віддаленого виконання коду

Вразливість CVE-2026-6722 у PHP SOAP дозволяє віддалене виконання коду. Оновіть PHP до безпечних версій для захисту серверів.

CVSS
9.5 CRITICAL
EPSS
50.07%
Активно використовується
немає в KEV
Продукт
php

Що відомо

У версіях PHP 8.2 до 8.2.31, 8.3 до 8.3.31, 8.4 до 8.4.21 та 8.5 до 8.5.6 виявлено критичну вразливість у механізмі дедуплікації об'єктів розширення SOAP. Вона дозволяє зловмиснику через спеціально сформований SOAP-запит викликати використання звільненої пам'яті, що може призвести до віддаленого виконання коду.

Бізнес-вплив

Ця вразливість становить серйозну загрозу для веб-серверів, що використовують уразливі версії PHP з увімкненим розширенням SOAP. Зловмисники можуть отримати контроль над сервером, що ставить під ризик конфіденційність, цілісність і доступність бізнес-сервісів. Відсутність негайного оновлення може призвести до компрометації інфраструктури та значних фінансових втрат.

Рекомендовані дії адміністратора

Адміністраторам рекомендується перевірити версії PHP на наявність уразливих релізів і якнайшвидше оновити до безпечних версій, опублікованих розробниками. Якщо оновлення наразі неможливе, слід обмежити доступ до SOAP-сервісів, ретельно аналізувати логи на ознаки експлуатації та впровадити додаткові заходи безпеки для зменшення ризику. Важливо також регулярно моніторити офіційні повідомлення про безпеку PHP.

Джерела