Se han identificado dos vulnerabilidades de seguridad en PHP que podrían permitir a atacantes remotos ejecutar inyecciones SQL o causar condiciones de denegación de servicio (DoS). Estas fallas afectan versiones ampliamente utilizadas del lenguaje PHP y fueron corregidas en parches recientes.
- CVE-2025-1735 – SQL Injection en extensión PostgreSQL (CVSS 9.1): Se produce debido a una falta de validación de errores en las funciones PQescapeStringConn() y PQescapeIdentifier
(), lo que permite la ejecución de inyecciones SQL y posibles referencias a punteros nulos. - CVE-2025-6491 – DoS en extensión SOAP (CVSS 5.9): Se procesan nombres de espacios XML mayores a 2GB con SoapVar(), lo que genera una condición de null pointer dereference en la función xmlBuildQName() de libxml2 < 2.13. Esto permite que un atacante cause fallos de segmentación (segfaults) y la interrupción total del servicio.
Productos y versiones afectadas
| Componente | Versiones afectadas |
|---|---|
| PHP con PostgreSQL | < 8.1.33, < 8.2.29, < 8.3.23, < 8.4.10 |
| PHP con SOAP | < 8.1.33, < 8.2.29, < 8.3.23, < 8.4.10, ≤ 8.5.0-dev (con libxml2 < 2.13) |
Solución
Actualizar inmediatamente a las siguientes versiones estables, las siguientes versiones incluyen parches que corrigen ambas vulnerabilidades:
- Actualizar PHP a la versión 8.1.33
- Actualizar PHP a la versión 8.2.29
- Actualizar PHP a la versión 8.3.23
- Actualizar PHP a la versión 8.4.10
Para más información, visite el sitio oficial de descargas de PHP
Recomendaciones
- Actualizar a las versiones no vulnerables de php, deshabilitar temporalmente las extensiones PostgreSQL y SOAP si no son críticas.
- Utilizar libxml2 versión 2.13 o superior para entornos con SOAP.
- Restringir la exposición de servicios PHP a redes externas
Referencias: