PHP 官方近日发布了针对两项安全漏洞的补丁更新，这两项漏洞可能导致基于 PHP 的应用面临 SQL 注入 与 拒绝服务（DoS）攻击 风险。漏洞编号分别为 CVE-2025-1735 和 CVE-2025-6491，受影响版本包括 PHP 8.1.33、8.2.29、8.3.23 与 8.4.10 之前的所有版本，主要波及使用 PostgreSQL 数据库与 SOAP 服务的应用系统。

CVE-2025-1735：pgsql 扩展缺失错误检查，导致 SQL 注入与崩溃风险

该漏洞源自 PHP 中 PostgreSQL（pgsql）扩展的错误处理机制缺陷。当 PHP 调用 PostgreSQL 提供的 PQescapeStringConn() 和 PQescapeIdentifier() 函数时，未能正确传递错误参数，导致函数执行出错时，PHP 无法感知或响应，形成安全隐患。

“具体来说，PHP 未向 PQescapeStringConn() 传入 error 参数，导致该函数在处理无效编码或异常输入时无法返回错误状态。”——官方通告指出。

一旦逃逸函数无法识别非法字符或编码错误，PHP 会继续处理错误数据，进而触发 SQL 注入风险，或因指针为空发生崩溃（Null Pointer Dereference）。

此外，开发者还指出：“多个 PQescapeIdentifier() 的调用未检查返回值是否为 NULL，可能在后续调用中触发崩溃或出现未定义行为（Undefined Behavior）。”

尽管 PostgreSQL 本身已强化对编码异常的防护，但 PHP 的 pgsql 扩展未跟进相应的错误检测机制，形成“最后一道防线失守”的高危状态。

CVE-2025-6491：SOAP 扩展处理超大 XML 名称时出现空指针引用，导致崩溃

该漏洞由卡塔尔计算研究院（Qatar Computing Research Institute）的 Ahmed Lekssays 报告，影响 PHP 中 SOAP 扩展的命名空间处理逻辑。

攻击者可通过构造一个 超过2GB长度的 XML 完整限定名，诱使 SoapVar 实例在解析过程中发生空指针引用，最终引发段错误（Segmentation Fault）：“如果使用长度大于 2GB 的 QName 创建 SoapVar 实例，将导致 NULL 指针引用，从而触发崩溃。”——漏洞通报指出。

漏洞发生在 PHP SOAP 实现（依赖 libxml2 库）与超长 XML 命名空间前缀交互时。当前缀长度超过整数上限（int max），xmlNodeSetName() 函数会静默失败，留下非法 XML 节点，随后在序列化过程中触发崩溃。

官方示例中，攻击者可使用简单脚本：

在 SOAP 操作中执行该代码将导致 PHP 进程异常终止。使用 Valgrind 工具确认报错为：“Invalid read of size 1 at address 0x0”（非法内存读取）

该漏洞对暴露 SOAP 接口、允许外部输入的 API 构成 拒绝服务攻击（DoS） 的极大威胁，攻击门槛低、影响面广。

修复版本与安全建议：

PHP 官方已在以下版本中修复上述漏洞：

• PHP 8.1.33

• PHP 8.2.29

• PHP 8.3.23

• PHP 8.4.10

所有在生产环境中使用 PostgreSQL 扩展 或 SOAP 服务 的开发者与运维人员，强烈建议：

这两项漏洞提醒开发者，在处理外部输入与底层函数交互时，务必强化错误检查与内存安全防护，尤其是在涉及数据库与 XML 协议时。