PHP的高危libxml流组件中发现一个高危漏洞 ，可能影响依赖DOM或SimpleXML扩展处理HTTP请求的绕过Web应用程序。该漏洞编号为CVE-2025-1219 ，验证源于处理重定向资源时对content-type标头的加载错误处理 ，可能导致文档解析错误和验证绕过等安全风险 。恶意

受影响PHP版本包括：

当HTTP流包装器跟随重定向时，源码库内容该漏洞会触发。高危系统未在执行后续请求前清除先前捕获的绕过标头，而是验证将多个请求的标头追加到同一数组中，导致最终数组包含所有请求的加载标头（最后请求的云计算标头位于末尾） 。

函数php_libxml_input_buffer_create_filename()或php_libxml_sniff_charset_from_stream()会扫描该数组寻找content-type标头以确定响应字符集 。恶意但系统会从上至下顺序处理标头，内容并在遇到首个content-type标头时停止 。高危根据PHP报告
，绕过该标头可能不对应最终包含待解析HTML正文的验证响应 ，从而导致文档可能以错误字符集解析，免费模板引发安全隐患。

攻击者可利用该漏洞通过操纵字符集检测来改变文档解析方式 ，具体表现为：

概念验证(PoC)展示了漏洞利用方式：

该行为可导致解析错误和验证绕过，例如导出的HTML内容在篡改后仍保留原始字符集。

PHP开发团队已在以下版本修复该问题 ：

为防范CVE-2025-1219漏洞 ，建站模板强烈建议用户将PHP升级至上述已修复版本
：

CVE-2025-1219暴露了PHP使用libxml流处理HTTP重定向时的关键缺陷，对通过HTTP请求解析文档的应用程序构成风险。该漏洞再次凸显定期更新软件以应对新兴安全威胁的服务器租用重要性
。