CVE-2026-6722 in PHPالمعلومات

الملخص

بحسب VulDB • 10/05/2026

In PHP الإصدارات 8.2.* قبل 8.2.31، و8.3.* قبل 8.3.31، و8.4.* قبل 8.4.21، و8.5.* قبل 8.5.6، يخزن آلية استبعاد الكائنات المكررة (object deduplication) في ملحق SOAP مؤشرات إلى كائنات PHP في خريطة عالمية دون زيادة عدّادات الإحالة الخاصة بها. عندما يحتوي عقدة apache:Map على مفاتيح مكررة، فإن معالجة الإدخال الثاني تؤدي إلى الكتابة فوق الأول في خريطة النتائج المؤقتة، مما يؤدي إلى تحرير كائن PHP الأصلي بينما يبقى مؤشره البالي (stale pointer) في الخريطة. يمكن لمرجع href لاحق للعقدة المحررة نسخ المؤشر المتدلي (dangling pointer) إلى النتيجة. ونظراً لأن تخصيصات سلاسل PHP يمكنها إعادة استخدام منطقة الذاكرة المحررة، يمكن لمهاجم يتحكم في جسم طلب SOAP استغلال هذا الخطأ use-after-free لتحقيق تنفيذ الكود عن بُعد (RCE).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Php

حجز

20/04/2026

إفشاء

10/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362486

CPE

جاهز

CWE

CWE-416 (مؤكد)

CVSS

5.6 (VulDB)

EPSS

0.00353

KEV

لا

النشاطات

منخفض جدًا

القطاع

Energy, Insurance, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6722
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6722
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6722/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!