PHP 遭多重安全漏洞 围攻，应用程序风险骤增

PHP 编程语言中被发现存在一系列安全漏洞，这可能使 Web 应用程序面临一系列攻击风险。这些漏洞影响到 PHP 的 HTTP 流包装器的多个方面，带来从信息泄露到拒绝服务等各种风险。

一个被追踪为 CVE – 2025 – 1861 的关键问题，涉及 HTTP 流包装器对重定向位置的截断。“当前，由于位置缓冲区大小限制为 1024 字节，导致位置值的大小受限”，这与 RFC 9110 建议的 8000 字节相差甚远。这种限制可能导致 URI 中关键信息的遗漏，甚至重定向到非预期的资源。在严重情况下，“如果截断的 URL 导致错误，甚至可能导致远程站点的拒绝服务”。

另一个重大漏洞 CVE – 2025 – 1734，关乎 HTTP 流包装器处理无效名称头的方式。该问题的产生是因为没有冒号的头会无错误返回，并且头名称中（冒号前）包含空格的头也不会被标记为无效。当应用程序解析响应头时，这可能引发问题。安全公告警告称：“在这种情况下，某种形式的请求走私是可能的。”

CVE – 2025 – 1217 凸显了 HTTP 流包装器头解析器中的一个缺陷，即折叠头未得到正确处理。解析器错误地将以空白字符开头的头行解释为新的头，而不是前一个头的延续。这可能导致错误的 MIME 类型报告以及响应解析错误，尤其是在重定向后，可能使应用程序错误地解释响应。

libxml 流也存在一个漏洞 CVE – 2025 – 1219，在请求重定向资源时会使用错误的内容类型头。当 HTTP 流包装器跟随重定向时，它不会清除捕获的头列表，导致多个请求的头存储在一起。然后，php_libxml_input_buffer_create_filename () 函数会扫描这个合并的头数组，并可能使用不属于最终响应的内容类型头，这可能导致错误的解析和安全绕过。

最后，CVE – 2025 – 1736 描述了 HTTP 流包装器头检查中的一个漏洞。头检查没有正确验证 r 的存在，如果头值中仅使用 n，可能会导致异常行为。例如，如果用户在未经适当检查的情况下提供此值，若在授权头前注入换行符，可能会禁止发送授权头。安全公告指出：“这可能会影响结果，潜在地导致拒绝服务或一些意外问题。” 这个问题对其他头，如用户代理头也有影响。

这些漏洞影响 PHP 8.1.32、8.2.28、8.3.18 和 8.4.5 之前的版本。目前已提供补丁版本：8.1.32、8.2.28、8.3.19 和 8.4.5。强烈建议 PHP 开发者更新到这些补丁版本，以降低这些安全漏洞带来的风险。