Múltiples vulnerabilidades en PHP permiten denegación de servicio y corrupción de memoria en aplicaciones web


Se han divulgado dos vulnerabilidades de seguridad en PHP (CVE-2026-12184 y CVE-2026-14355) que permiten a atacantes desencadenar condiciones de denegación de servicio (DoS) y corrupción de memoria en aplicaciones web basadas en PHP. La primera afecta el manejo de conexiones TLS en el wrapper de streams HTTP, causando crashes en PHP-FPM al realizar operaciones sobre referencias nulas tras fallos de validación.

La segunda, en la extensión OpenSSL, provoca desbordamientos de búfer durante operaciones de cifrado AES-WRAP-PAD, corrompiendo la memoria del gestor Zend. Ambas vulnerabilidades son explotables de forma remota sin autenticación y afectan múltiples versiones activas de PHP.

CVE y severidad

CVE Severidad Impacto Descripción breve
CVE-2026-12184 Alta Disponibilidad (DoS) Fallo en el manejo de streams HTTP tras fallos TLS, causando crashes en PHP-FPM.
CVE-2026-14355 Media Disponibilidad (DoS) / Integridad Corrupción de memoria en OpenSSL por desbordamiento de búfer en AES-WRAP-PAD.

Productos afectados

Versión afectada Versión corregida Vulnerabilidad asociada
PHP < 8.2.32 8.2.32 o superior CVE-2026-14355
PHP < 8.3.32 8.3.32 o superior CVE-2026-12184 y CVE-2026-14355
PHP < 8.4.21 8.4.21 o superior CVE-2026-12184
PHP < 8.4.23 8.4.23 o superior CVE-2026-14355
PHP < 8.5.6 8.5.6 o superior CVE-2026-12184
PHP < 8.5.8 8.5.8 o superior CVE-2026-14355

Solución

Actualizar PHP a las versiones 8.2.32, 8.3.32, 8.4.23 o 8.5.8 según corresponda, según lo publicado en los avisos oficiales de seguridad.

Para distribuciones Linux, ejecutar la actualización mediante el gestor de paquetes correspondiente y reiniciar el servicio PHP-FPM tras aplicar el parche. Verificar la versión instalada con: php -v

Recomendaciones

Las organizaciones que utilicen PHP deben priorizar la actualización de sus instancias afectadas en un horario de mantenimiento. Además, se recomienda revisar el uso de conexiones TLS y funciones de cifrado AES-WRAP-PAD para mitigar riesgos residuales. En entornos críticos, considerar la implementación de monitoreo de procesos PHP-FPM para detectar comportamientos anómalos previos a la actualización.

Referencias