CVE-2026-7258 PHP拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-7258

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PHP

漏洞概述

在PHP 8.2.31、8.3.31、8.4.21和8.5.6之前的多个版本中存在一个安全漏洞。当`urldecode()`等函数将带符号的字符（signed char）传递给`isxdigit()`等字符类型（ctype）函数时，在默认使用带符号字符且优化了基于表查找的ctype函数的系统（如NetBSD）上，会导致使用负偏移量访问数组。这一行为可能触发拒绝服务（DoS）攻击，导致应用程序崩溃或不可用。

技术细节

该漏洞的根本原因在于PHP内核中对字符类型的处理逻辑依赖于系统的`char`类型实现。在x86架构的NetBSD等系统上，`char`默认为有符号类型，其取值范围为-128到127。当`urldecode()`处理特定输入时，会将解码后的字节（可能大于127）作为`char`传递。由于数值大于127，在带符号系统中它被解释为负数。随后，这个负数被用作索引去访问ctype函数的内部查找表。由于代码未对索引进行边界检查或强制转换为无符号整数，负数索引导致了数组越界访问。这种越界访问会引发非法内存访问错误，从而造成PHP解释器崩溃。

攻击链分析

STEP 1

侦察

攻击者识别出目标服务器运行的是存在漏洞的PHP版本（8.2.31/8.3.31/8.4.21/8.5.6之前），且操作系统环境为NetBSD或其他默认使用signed char的系统。

STEP 2

构造载荷

攻击者构造特定的HTTP请求数据，其中包含经过精心设计的字节序列（如%80-%FF），这些序列在被urldecode处理后会产生高位字节值。

STEP 3

投递攻击

攻击者通过HTTP请求将构造好的恶意数据发送给目标Web应用程序的PHP接口。

STEP 4

触发漏洞

PHP处理请求时，`urldecode()`函数解码数据并将带符号的字符传递给ctype函数，导致负数索引数组越界，触发段错误，使PHP进程崩溃，造成服务拒绝。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// PoC for CVE-2026-7258
// This script attempts to trigger the DoS by passing a byte that becomes a negative signed char.
// On systems like NetBSD where char is signed, 0x80 is -128.

// Construct a payload that urldecode decodes to a byte with the high bit set (e.g., 0x80 - 0xFF)
// %80 decodes to 0x80, which is -128 in signed char.
$payload = "%80%FF%AA";

// Trigger the vulnerable function
// In vulnerable versions, this may cause a segmentation fault due to negative array offset.
urldecode($payload);

echo "PoC executed. If the server did not crash, it might be patched or running on an unaffected architecture.\n";
?>

影响范围

PHP < 8.2.31

PHP < 8.3.31

PHP < 8.4.21

PHP < 8.5.6

防御指南

临时缓解措施

如果无法立即升级PHP，建议在应用层面对`urldecode()`等函数的输入进行严格的过滤，移除所有非ASCII字符或高位字节设置的字节。此外，可以部署Web应用防火墙（WAF）尝试拦截包含特殊编码模式的恶意请求，但这仅作为临时缓解手段，最根本的解决方式仍是应用官方补丁。