Um conjunto de vulnerabilidades em componentes do PHP expõe servidores web a riscos de negação de serviço, vazamento de informações e, no caso mais grave, execução remota de código por meio da extensão SOAP.
A principal falha é rastreada como CVE-2026-6722 e afeta a forma como a extensão PHP SOAP processa objetos em documentos XML.
O problema é uma condição de use-after-free, causada por falha no controle de referência de objetos armazenados em um mapa global.
Na prática, um invasor pode manipular atributos id e href dentro de uma estrutura XML para liberar objetos ainda em uso. Em seguida, é possível tentar reaproveitar o espaço de memória liberado para corromper o processo PHP.
A exploração bem-sucedida pode levar à execução remota de código sem autenticação, dependendo da aplicação exposta e de como ela usa a extensão SOAP.
O risco é maior em servidores que aceitam requisições SOAP vindas da internet.
As vulnerabilidades afetam versões do PHP anteriores a 8.2.31, 8.3.31, 8.4.21 e 8.5.6. No caso específico da falha em mbstring, o impacto se limita a versões anteriores a 8.4.21 e 8.5.6.
Administradores devem atualizar imediatamente os ambientes PHP para versões corrigidas, especialmente servidores que utilizam SOAP.
