近期，PHP 官方发布安全更新，修复了多个安全漏洞，涉及 PHP-FPM、MBString、PDO_Firebird、SOAP、Standard 等多个模块，漏洞编号包括 CVE-2026-6722、CVE-2026-7261、CVE-2026-7262、CVE-2026-6735、CVE-2026-7259、CVE-2025-14179、CVE-2026-7568、CVE-2026-7258 等。

其中，CVE-2026-6722 风险较高，该漏洞位于 PHP SOAP 扩展中，在特定条件下可能造成远程代码执行风险；同时，本次更新还修复了 PHP-FPM 状态页 XSS、MBString 空指针解引用、PDO_Firebird SQL 注入、SOAP 相关内存问题等多个安全问题。PHP 官方已将本次更新标记为 security release，建议正在使用 PHP 8.2-PHP 8.5 版本的用户及时检查当前小版本，并根据实际情况进行升级处理

漏洞说明

本次重点关注的 CVE-2026-6722 漏洞位于 PHP 的 SOAP 扩展中。

根据公开信息，该漏洞与 SOAP 扩展中的 Use-After-Free 问题有关。在启用 SOAP 扩展，并对外提供 SOAP 服务的场景下，如果攻击者能够控制 SOAP 请求内容，可能触发内存破坏问题，进一步造成进程异常、信息泄露，甚至存在远程代码执行风险。

SOAP 扩展并不一定在所有 PHP 环境中默认启用，但在部分企业系统、ERP、支付接口、WebService、老旧业务系统或接口对接场景中较为常见。如果服务器启用了 PHP SOAP 扩展，且相关服务会处理外部请求，建议优先关注该漏洞。

除 CVE-2026-6722 外，本次 PHP 安全更新还修复了 PHP-FPM、MBString、PDO_Firebird、SOAP、Standard 等模块中的多个安全问题。考虑到 PHP-FPM 在常见 Nginx + PHP 网站环境中使用较多，MBString、Standard 等模块在实际业务中也较为常见，因此即使业务未使用 SOAP，也建议用户检查当前 PHP 版本并及时升级。。