重大安全风险
PHP 8.5.6 是一个安全性更新 ,建议所有 PHP 8.5 用户立即升级。
此次更新修复了多个高风险的CVE漏洞,可能导致应用崩溃、数据泄露或被注入攻击。主要修复的安全漏洞包括:
| 风险类型 | 影响组件 | CVE 编号 |
|---|---|---|
| 跨站脚本攻击 (XSS) | PHP-FPM 状态页面 | CVE-2026-6735 |
| XML 解析与重复命名空间 | DOM / Lexbor 库 | CVE-2026-7263, CVE-2026-29078, CVE-2026-29079 |
| 空指针与内存越界 | 多字节字符串 (MBString) | CVE-2026-7259, CVE-2026-6104 |
| SQL 注入漏洞 | PDO_Firebird 驱动 | CVE-2025-14179 |
| 数值截断绕过 | 内置 Uriparser 库 | CVE-2026-42371 |
其他重要修复与改进
除了安全修复,8.5.6 版本还包含多项稳定性改进:
-
核心稳定性提升:修复了与生成器、Fibers、析构函数相关的垃圾回收断言失败问题,以及可能导致段错误的若干内存管理问题。
-
Opcache JIT 优化:修复了 JIT 即时编译器在多处可能导致崩溃或错误优化的问题,提升服务器复杂场景下的稳定性。
-
扩展与新特性支持:
-
Curl (Windows):增加了对 Brotli 和 Zstd 压缩算法的支持,可加速API请求、减少带宽消耗。
-
Lexbor:升级至 v2.7.0 版本,修复了相关安全漏洞。
-
其他:OpenSSL、DOM、SOAP、Phar 等组件也获得了内存泄漏和崩溃的修复。
-