PHP的高危libxml流组件中发现一个高危漏洞
，可能影响依赖DOM或SimpleXML扩展处理HTTP请求的绕过Web应用程序
。该漏洞编号为CVE-2025-1219，验证源于处理重定向资源时对content-type标头的加载错误处理，可能导致文档解析错误和验证绕过等安全风险 。恶意

受影响PHP版本包括 ：

当HTTP流包装器跟随重定向时 ，建站模板内容该漏洞会触发 。高危系统未在执行后续请求前清除先前捕获的绕过标头，而是验证将多个请求的标头追加到同一数组中，导致最终数组包含所有请求的加载标头（最后请求的源码库标头位于末尾）。

函数php_libxml_input_buffer_create_filename()或php_libxml_sniff_charset_from_stream()会扫描该数组寻找content-type标头以确定响应字符集
。恶意但系统会从上至下顺序处理标头，内容并在遇到首个content-type标头时停止 。高危根据PHP报告 ，绕过该标头可能不对应最终包含待解析HTML正文的验证响应
，从而导致文档可能以错误字符集解析，高防服务器引发安全隐患。

攻击者可利用该漏洞通过操纵字符集检测来改变文档解析方式，具体表现为：

概念验证(PoC)展示了漏洞利用方式：

该行为可导致解析错误和验证绕过，例如导出的HTML内容在篡改后仍保留原始字符集
。

PHP开发团队已在以下版本修复该问题  ：

为防范CVE-2025-1219漏洞 ，免费模板强烈建议用户将PHP升级至上述已修复版本 ：

CVE-2025-1219暴露了PHP使用libxml流处理HTTP重定向时的关键缺陷 ，对通过HTTP请求解析文档的应用程序构成风险。该漏洞再次凸显定期更新软件以应对新兴安全威胁的云计算重要性
。