الثغرات ›

CVE-2026-7259

متوسط

CWE-476 — نوع الضعف

                    نُشر: May 10, 2026                      ·  آخر تحديث: May 13, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

In PHP versions 8.2.* before 8.2.31, 8.3.* before 8.3.31, 8.4.* before 8.4.21, and 8.5.* before 8.5.6, a mismatch between encoding lists in Oniguruma and mbfl leads to a NULL pointer dereference, resulting in a segmentation fault and denial of service. The vulnerability is exploitable when user-controlled input can influence the encoding passed to mb_regex_encoding().

🤖 ملخص AI

A NULL pointer dereference vulnerability in PHP's multibyte string handling causes denial of service when user-controlled input influences encoding parameters in mb_regex_encoding(). Affected versions include PHP 8.2 before 8.2.31, 8.3 before 8.3.31, 8.4 before 8.4.21, and 8.5 before 8.5.6.

📄 الوصف (العربية)

تحتوي هذه الثغرة على عدم تطابق بين قوائم الترميز في مكتبات Oniguruma و mbfl مما يؤدي إلى إلغاء مؤشر فارغ. يمكن استغلال الثغرة عندما يتمكن المهاجم من التحكم في مدخلات المستخدم التي تؤثر على معاملات الترميز المرسلة للدوال.

🤖 ملخص تنفيذي (AI)

A NULL pointer dereference in PHP multibyte regex functions causes application crashes when processing user input with specific encoding parameters. This affects multiple PHP versions and can be exploited to cause denial of service attacks.

🤖 التحليل الذكي آخر تحليل: May 13, 2026 03:54

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1499.004

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update PHP to version 8.2.31, 8.3.31, 8.4.21, 8.5.6 or later. Implement input validation for encoding parameters passed to mb_regex_encoding(). Restrict user control over encoding selection where possible. Monitor PHP error logs for segmentation faults.

🔧 خطوات المعالجة (العربية)

قم بتحديث PHP إلى الإصدار 8.2.31 أو 8.3.31 أو 8.4.21 أو 8.5.6 أو أحدث. تطبيق التحقق من صحة المدخلات لمعاملات الترميز المرسلة إلى mb_regex_encoding(). تقييد تحكم المستخدم باختيار الترميز حيثما أمكن. مراقبة سجلات أخطاء PHP للكشف عن أعطال التجزئة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.11.2.1 A.12.6.1

🔵 SAMA CSF

ID.BE-5.1 PR.IP-1.1

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1

🔗 المراجع والمصادر 1

🔗

https://github.com/php/php-src/security/advisories/GHSA-wm6j-2649-pv75

security@php.net

Vendor Advisory

📦 المنتجات المتأثرة 4 منتج

php:php

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-476

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-10

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-476

🏢 توجيهات البائع

🔗 https://github.com/php/php-src/security/advisories/G...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7259

عرّفنا بنفسك

تسجيل الدخول مطلوب