CVE-2026-7261 深度分析：PHP SoapServer 高危 Use-After-Free 漏洞及应对方案

一、漏洞概览

2026 年 5 月 7 日，PHP 开发团队发布紧急安全更新，修复了多个高危漏洞，其中 CVE-2026-7261 是一枚潜伏在 PHP SOAP 扩展中的严重内存安全缺陷。

属性	详情
CVE 编号	CVE-2026-7261
漏洞等级	Critical（严重）
CVSS 评分	9.8
漏洞类型	Use-After-Free（释放后重用） / 远程代码执行（RCE）
影响组件	PHP SOAP 扩展（ext-soap）— SoapServer
发现者	Ilia Alshanetsky, Ilija Tovilo
发布日期	2026-05-07

该漏洞存在于 SoapServer 的会话持久化机制中。当服务器配置为 SOAP_PERSISTENCE_SESSION 时，SOAP handler 对象会被持久化到 $_SESSION 中跨请求复用。然而，在特定错误路径下，PHP 会释放该对象却保留其指针，导致后续请求访问到已释放的内存区域，形成典型的 Use-After-Free 条件。攻击者可利用此缺陷触发内存损坏、信息泄露，甚至在特定堆布局下实现远程代码执行。

二、影响范围

受影响版本

以下 PHP 分支的全部早期版本均存在此漏洞：

• PHP 8.2.x < 8.2.31
• PHP 8.3.x < 8.3.31
• PHP 8.4.x < 8.4.21
• PHP 8.5.x < 8.5.6

触发条件

并非所有使用 SOAP 的 PHP 应用都会暴露此漏洞。必须同时满足以下条件才存在风险：

1. 启用 SOAP 扩展：ext-soap 已加载并处于活动状态。
2. 使用 SoapServer：应用作为 SOAP 服务端接收外部请求。
3. 开启会话持久化：SoapServer 显式配置了 SOAP_PERSISTENCE_SESSION 模式，将 handler 对象存入 Session。
4. 触发错误路径：SOAP 请求在处理 header 节点时，handler 函数返回 false 或抛出异常/致命错误。

潜在影响

• 远程代码执行（RCE）：攻击者通过控制堆内存分配，可能在已释放的内存区域注入可控数据，劫持对象指针并执行任意代码。
• 信息泄露：内存损坏可能导致相邻堆内存中的敏感数据（如密钥、配置、用户数据）被泄露。
• 拒绝服务（DoS）：Use-After-Free 可引发段错误（Segmentation Fault），导致 PHP-FPM Worker 或 Apache 进程反复崩溃，服务中断。

注意：虽然漏洞利用需要 SOAP_PERSISTENCE_SESSION 这一特定配置，但许多企业级 SOAP 服务（如 ERP、财务系统、 legacy 中间件）为了保持状态，恰恰广泛使用该模式。因此该漏洞对 B2B 和企业内网服务的威胁尤为突出。

三、技术原理剖析

3.1 正常生命周期

当 SoapServer 使用 SOAP_PERSISTENCE_SESSION 时，其工作流如下：

1. 首次请求：PHP 实例化 handler 对象，处理 SOAP 请求。
2. 请求结束：handler 对象被序列化（或保留指针）写入 $_SESSION。
3. 后续请求：从 Session 中恢复 handler 对象，继续处理。

3.2 漏洞根因

在 soap.c 的实现中，当 SOAP header 处理失败（handler 返回 false 或抛出异常）时，错误处理路径会释放 handler 对象，但未同步清除 Session 中存储的指针引用。这导致：

• 对象内存已被 free() 归还给堆管理器。
• $_SESSION 中仍保存着指向该内存的“悬空指针”（Dangling Pointer）。
• 下一次请求从 Session 恢复 handler 时，PHP 解引用该指针，访问到已释放的内存。

[请求1] 创建 Handler → 存入 Session → Header 处理失败 → 释放 Handler
                                                          ↓
[请求2] 从 Session 读取指针 ─────────────────────────────→ 已释放内存（UAF）

3.3 为什么能导致 RCE？

Use-After-Free 本身只是内存损坏，但现代堆利用技术允许攻击者：

1. 触发释放：发送精心构造的 SOAP 请求，迫使 handler 进入错误路径并被释放。
2. 堆喷射（Heap Spraying）：在后续请求中分配大量可控字符串或对象，占据刚刚释放的内存槽位。
3. 类型混淆：当 PHP 再次通过悬空指针访问该内存时，误以为攻击者控制的字符串是合法的 handler 对象，从而劫持虚函数表或内部指针。
4. 代码执行：通过控制对象的方法调用或属性访问，最终转向攻击者预设的内存区域执行 shellcode 或 PHP 内部指令。

四、应对方案

4.1 紧急修复（首选）

立即升级 PHP 到安全版本：

分支	安全版本
PHP 8.2	8.2.31
PHP 8.3	8.3.31
PHP 8.4	8.4.21
PHP 8.5	8.5.6

升级后务必重启所有 PHP 进程（PHP-FPM、Apache mod_php、CLI 常驻进程等），以确保新补丁生效。

4.2 临时缓解措施

如果无法立即升级，可采取以下措施降低风险：

方案 A：禁用 SOAP 扩展（如业务允许）

如果应用不依赖 SOAP 服务端功能，可直接卸载或禁用 ext-soap：

; php.ini
; 注释掉或删除以下行
; extension=soap

方案 B：关闭会话持久化

检查代码中是否使用了 SOAP_PERSISTENCE_SESSION，如有，评估是否可以改为 SOAP_PERSISTENCE_REQUEST（每次请求重新实例化 handler）：

// 高风险模式
$server->setPersistence(SOAP_PERSISTENCE_SESSION);

// 临时降级为请求级持久化（状态不跨请求保留）
$server->setPersistence(SOAP_PERSISTENCE_REQUEST);

注意：此修改会导致 Session 状态丢失，仅适合无状态服务或作为临时缓解。

方案 C：网络层隔离

• 将 SOAP 端点限制在内网或 VPN 访问，禁止公网直接访问。
• 在 WAF / 反向代理层增加规则，拦截异常 SOAP 请求（如畸形 Header、重复 key 等），但不可将其作为唯一防线。

4.3 事后加固

1. 资产清点：梳理所有使用 SoapServer 且开启 SOAP_PERSISTENCE_SESSION 的服务，建立清单。
2. 日志监控：观察 PHP-FPM / Apache 错误日志中是否有段错误（SIGSEGV）或异常崩溃。
3. Session 审计：检查是否有异常 SOAP 请求触发 header 错误后紧跟着大量内存分配行为的请求序列。
4. 权限最小化：确保 PHP-FPM 进程以低权限用户运行，限制其对文件系统和敏感资源的访问。
5. 密钥轮换：如果怀疑已被利用，立即轮换数据库凭证、API Key、加密密钥等敏感凭据。

五、同批次关联漏洞

2026 年 5 月安全更新还修复了以下相关漏洞，建议一并关注：

CVE	组件	类型	影响
CVE-2026-6722	ext-soap	Use-After-Free	Critical RCE（Apache Map 对象去重缺陷）
CVE-2026-7262	ext-soap	NULL Pointer Deref	DoS（Apache Map 解码缺失 value 节点）
CVE-2026-6104	mbstring	Out-of-Bounds Read	信息泄露（编码名含 NUL 字节）
CVE-2026-7258	urldecode()	Out-of-Bounds Read	DoS（特定平台段错误）

特别提醒：CVE-2026-6722 与 CVE-2026-7261 同为 SOAP 扩展的内存安全漏洞，但攻击路径不同。前者通过 id/href 对象去重机制触发，后者通过 Session 持久化错误路径触发。两者均需紧急修复。

六、总结

CVE-2026-7261 是一枚针对 PHP SOAP 服务端特定配置的高危 Use-After-Free 漏洞。虽然其利用条件比 CVE-2026-6722 更为苛刻（需要 SOAP_PERSISTENCE_SESSION），但一旦满足条件，攻击者即可通过构造 SOAP 请求触发内存损坏，进而实现远程代码执行或拒绝服务。

对于运维和开发团队，请遵循以下行动清单：

• 确认所有 PHP 运行时版本，判断是否处于受影响范围。
• 检查是否有 SoapServer 使用 SOAP_PERSISTENCE_SESSION。
• 制定升级计划，在测试环境验证后部署至生产。
• 升级后重启所有 PHP 进程。
• 无法升级时，评估禁用 SOAP 或关闭会话持久化作为临时缓解。
• 监控日志，排查异常崩溃和可疑请求。

SOAP 作为企业级集成的重要协议，其服务端往往承载着核心业务逻辑。一枚内存安全漏洞足以击穿应用层所有防护，直达操作系统内核。请务必将此次 PHP 安全更新视为紧急事件，尽快完成全量修复。

---

参考来源：PHP 官方安全公告、NVD、GitHub Security Advisory、Debian Security Advisory DLA-4586-1