
Se han divulgado dos vulnerabilidades de seguridad en PHP (CVE-2026-12184 y CVE-2026-14355) que permiten a atacantes desencadenar condiciones de denegación de servicio (DoS) y corrupción de memoria en aplicaciones web basadas en PHP. La primera afecta el manejo de conexiones TLS en el wrapper de streams HTTP, causando crashes en PHP-FPM al realizar operaciones sobre referencias nulas tras fallos de validación.
La segunda, en la extensión OpenSSL, provoca desbordamientos de búfer durante operaciones de cifrado AES-WRAP-PAD, corrompiendo la memoria del gestor Zend. Ambas vulnerabilidades son explotables de forma remota sin autenticación y afectan múltiples versiones activas de PHP.
CVE y severidad
| CVE | Severidad | Impacto | Descripción breve |
|---|---|---|---|
| CVE-2026-12184 | Alta | Disponibilidad (DoS) | Fallo en el manejo de streams HTTP tras fallos TLS, causando crashes en PHP-FPM. |
| CVE-2026-14355 | Media | Disponibilidad (DoS) / Integridad | Corrupción de memoria en OpenSSL por desbordamiento de búfer en AES-WRAP-PAD. |
Productos afectados
| Versión afectada | Versión corregida | Vulnerabilidad asociada |
|---|---|---|
| PHP < 8.2.32 | 8.2.32 o superior | CVE-2026-14355 |
| PHP < 8.3.32 | 8.3.32 o superior | CVE-2026-12184 y CVE-2026-14355 |
| PHP < 8.4.21 | 8.4.21 o superior | CVE-2026-12184 |
| PHP < 8.4.23 | 8.4.23 o superior | CVE-2026-14355 |
| PHP < 8.5.6 | 8.5.6 o superior | CVE-2026-12184 |
| PHP < 8.5.8 | 8.5.8 o superior | CVE-2026-14355 |
Solución
Actualizar PHP a las versiones 8.2.32, 8.3.32, 8.4.23 o 8.5.8 según corresponda, según lo publicado en los avisos oficiales de seguridad.
Para distribuciones Linux, ejecutar la actualización mediante el gestor de paquetes correspondiente y reiniciar el servicio PHP-FPM tras aplicar el parche. Verificar la versión instalada con: php -v
Recomendaciones
Las organizaciones que utilicen PHP deben priorizar la actualización de sus instancias afectadas en un horario de mantenimiento. Además, se recomienda revisar el uso de conexiones TLS y funciones de cifrado AES-WRAP-PAD para mitigar riesgos residuales. En entornos críticos, considerar la implementación de monitoreo de procesos PHP-FPM para detectar comportamientos anómalos previos a la actualización.
