Kritische PHP SOAP-Erweiterung-Schwachstellen ermöglichen Remote-Code-Execution-Angriffe

Diese Schwachstelle ergibt sich aus der Art und Weise, wie die Erweiterung Objekte innerhalb des XML-Graphen unter Verwendung. Zusätzliche PHP SOAP-Schwachstellen: Beim Parsen eines XML-Dokuments speichert die Erweiterung einfache PHP-Objekte in einem globalen Hash-Map, versäumt jedoch kritisch, deren Referenzzähler zu erhöhen.

Durch die Ausnutzung des Apache Map-Mechanismus kann ein Angreifer diese Objekte absichtlich freigeben, indem er vorhandene Map-Einträge überschreibt. Diese Speicher-Manipulation ermöglicht es dem Angreifer, den freigegebenen Speicherbereich erneut zu verwenden, was zu gefährlichen Speicher-Korruptionen führt.

Wie vom Sicherheitsforscher Brett Gervasoni gezeigt, kann ein Angreifer diesen freigegebenen Speicher durch anschließende Zuweisung einfacher Strings stark kontrollieren und so die Schwachstelle zu einer vollständigen Remote Code Execution (RCE) eskalieren. Neben der RCE-Schwachstelle hat das PHP-Sicherheitsteam über GitHub vier weitere Schwachstellen mittlerer Schweregrad behoben.

Der Entwickler iluuu1994 leitete die Bemühungen

Der Entwickler iluuu1994 leitete die Bemühungen zur Behebung aller neu offengelegten Fehler. CVE-2026-7261 betrifft ein weiteres Use-After-Free-Problem im SoapServer bei der Verarbeitung. Wenn die Handler-Funktion eines Header-Knotens fehlschlägt oder eine Ausnahme wirft, wird das Objekt fälschlicherweise freigegeben, bleibt jedoch dennoch im Sitzungsspeicher geschrieben.

CVE-2026-7262 ist eine Schwachstelle durch Dereferenzierung eines NULL-Punktigers, die beim Decodieren: Map-Knoten ausgelöst wird. Durch das Senden einer speziell konstruierten XML-Anfrage, die den Wertknoten fehlt, können Angreifer den PHP-Prozess konsistent abstürzen lassen und so einen Denial-of-Service verursachen. CVE-2026-7258 offenbart ein Aus-dem-Grenzbereich-Lesen in der nativen urldecode()-Funktion.

Aufgrund eines fehlenden Typcasts bei der Auswertung können negative Byte-Werte auf einigen Plattformen, wie beispielsweise NetBSD, zu einem Speicherzugriffsfehler führen. CVE-2026-6104 betrifft die mbstring-Erweiterung: Das Parsen, die eingebettete NUL-Bytes enthalten, führt zu einem globalen Pufferüberlauf.

Diese Schwachstelle zur Informationspreisgabe ermöglicht das

Diese Schwachstelle zur Informationspreisgabe ermöglicht das Lesen jenseits der beabsichtigten Grenzen, ist jedoch nicht direkt ausnutzbar für Codeausführung. Diese Schwachstellen betreffen mehrere aktiv gepflegte PHP-Branches im Zusammenhang mit den SOAP-bezogenen Mängeln sowie dem urldecode()-Fehler. Die betroffenen Versionen umfassen PHP-Versionen vor 8.2.31, 8.3.31, 8.4.21 und 8.5.6.

Die mbstring-Schwachstelle betrifft ausschließlich Versionen vor 8.4.21 und 8.5.6. Administratoren werden dringend aufgefordert, ihre PHP-Umgebungen unverzüglich zu aktualisieren. Die von iluuu1994, iliaal und ndossche auf GitHub eingereichten Patches sind nun in den PHP-Versionen 8.2.31, 8.3.31, 8.4.21 und 8.5.6 integriert.

Das Upgrade auf diese gepatchten Versionen beseitigt sicher die Probleme mit dem falschen Speicherhandling und das Auslesen jenseits der Grenzen und schützt den Server vor Denial-of-Service-Angriffen sowie Angriffen zur Ausführung, die die SOAP-Erweiterung nutzen, müssen den Einsatz dieses Patches priorisieren, um kritische Infrastrukturen angemessen zu schützen. Sie uns auf