PHP核心原始码php-src近期完成由Quarkslab执行的安全性稽核，揭露多项高风险与中度风险漏洞，影响範围涵盖PHP-FPM、MySQL驱动与OpenSSL等关键模组。该稽核由Sovereign Tech Agency出资，透过开源技术改进基金会（OSTIF）协调，并获得PHP基金会全力配合，进一步改善即将发布的PHP 8.4版本安全性。

本次稽核重点在于php-src中最具风险的模组与流程，範围包含手动程序码审查、动态测试与加密层面的评估。Quarkslab依据PHP基金会与OSTIF共同定义的威胁模型，对PHP-FPM主从架构、JSON解码、MySQL原生驱动、表单上传处理、PDO模拟预处理陈述式与密码杂凑相关元件进行深入分析。整体稽核历时两个月，涵盖静态与动态分析流程，包括针对特定高风险模组开发模糊测试工具，并测试其在oss-fuzz环境下的表现。

稽核结果共发现27项问题，其中17项具有安全性风险，包含3项高风险、5项中度风险与9项低风险问题，另有10项属于资讯性弱点。多数问题已在GitHub安全通报揭露，另有两项尚未公开之高风险漏洞仍在修补中，预计于修正完成后正式公布。已公布的CVE包含CVE-2024-8929，指出MySQL驱动可能透过恶意服务器触发堆积缓冲区过读（Over-Read），洩露先前请求内容；CVE-2024-9026涉及PHP-FPM日誌讯息潜在窜改风险；CVE-2024-8925为表单资料解析错误，可能导致误解资讯；CVE-2024-8928则为记忆体管理异常可能造成记忆体区段错误。

PHP-FPM因其长时间在同一程序中执行多个请求，对于记忆体与资源管理的要求格外严格，本次稽核特别指出其在UID/GID处理、工作程序日誌管理与表单资料解析方面存在安全风险。另一方面，OpenSSL与libsodium整合部分，则发现数项与起始向量（Initialization Vector，IV）处理、金钥长度、签章错误行为与文件缺失相关的潜在问题，反映出加密模组在预设参数与使用者行为落差间仍有可改进空间。

Quarkslab在报告中肯定PHP核心程序码整体品质良好，结构一致且符合设计规範，并强调此次发现的多数问题并非源自设计漏洞，而是实作细节与错误处理不足所致。PHP基金会也已依稽核建议进行修正，并表示未来将持续改善安全测试流程与静态分析工具整合，强化持续整合环境下的自动防御机制。

此次稽核虽受限于预算仅涵盖关键模组，官方仍希望未来能透过社群或企业赞助，扩大涵盖整体程序码基础，持续强化PHP的安全性与稳定性。稽核报告全文目前已公开，包含所有细项发现与修正建议，开发者可前往OSTIF网站或PHP基金会官方页面下载阅读。