PHP 发布 2026 年 5 月安全更新，修复高危 RCE 与 XSS 漏洞

2026年5月7日，PHP 开发团队同步推送8.5.6、8.4.21、8.3.31、8.2.31四大维护分支安全更新，均标注为安全紧急修复，建议所有用户立即升级。

本次修复8个高危CVE漏洞，核心风险包括：

• CVE-2025-14179（CVSS 9.2）：SOAP 扩展远程代码执行（RCE），无需认证即可构造请求接管服务器。
• CVE-2026-6735（CVSS 7.3）：PHP-FPM 状态页面反射型 XSS，可窃取管理员会话。
• DOM/XML、MBString、PDO 组件：修复空指针、内存越界、SQL 注入等漏洞，防止应用崩溃与数据泄露。

NGINX 紧急修复潜伏 18 年“核弹级”RCE 漏洞（CVE-2026-42945）

2026年5月12日，NGINX 官方披露高危堆缓冲区溢出漏洞 CVE-2026-42945（CVSS 9.2），代号“NGINX Rift”，潜伏18年（2008–2026），影响全球约37%网站（超1.3亿站点）。

• 漏洞成因：ngx_http_rewrite_module 重写模块逻辑缺陷，处理含 ? 的正则替换时引发堆溢出，未认证远程攻击者可执行任意代码、接管服务器、窃取数据，且 POC 已公开，攻击门槛极低。
• 影响版本：开源版 0.6.27–1.30.0；商业版 NGINX Plus R32–R36。
• 修复方案：
  • 开源版升级至 1.30.1 或 1.31.0+；主线版同步发布 1.31.1 修复后续漏洞。
  • 商业版升级至 R36 P4/R32 P6。
  • 临时规避：将 rewrite 匿名捕获（$1/$2）改为命名捕获，防止漏洞触发。

安全建议

• PHP 用户：立即升级至对应分支最新安全版本，加固 PHP-FPM 状态页面访问控制。
• NGINX 用户：紧急排查版本，优先升级；暂无法升级则修改 rewrite 配置并监控异常崩溃日志。
• 两漏洞均为全网级高危，建议运维团队在48小时内完成修复，避免被攻击利用。