Threats
Duas vulnerabilidades no PHP podem ser exploradas para provocar interrupções de serviço e corrupção de memória que pode afetar várias versões suportadas da linguagem de programação
06/07/2026
|
Foram divulgadas duas vulnerabilidades de segurança no PHP que podem ser exploradas para provocar ataques de negação de serviço (DoS) e corrupção de memória em aplicações web que utilizam a linguagem de programação. A mais grave, identificada como CVE-2026-12184, afeta o mecanismo de ligações HTTP do PHP. A vulnerabilidade ocorre quando falha a configuração de uma ligação segura TLS e o código continua a executar operações sobre um objeto de comunicação que já foi encerrado. Segundo os investigadores, um atacante pode desencadear esta situação ao provocar falhas na validação TLS, por exemplo através da utilização de certificados expirados ou incompatíveis. A exploração bem-sucedida da falha pode provocar a interrupção do PHP FastCGI Process Manager (PHP-FPM), terminando todos os processos de trabalho e causando a indisponibilidade do serviço. A vulnerabilidade afeta versões anteriores às 8.3.32, 8.4.21 e 8.5.6. A segunda vulnerabilidade, CVE-2026-14355, encontra-se na extensão OpenSSL do PHP e resulta de um erro no cálculo da memória utilizada pelo algoritmo de encriptação AES-WRAP-PAD. O problema pode levar à escrita de dados para além da memória reservada, provocando corrupção da memória e instabilidade nas aplicações. Embora esta vulnerabilidade exija condições de exploração mais específicas, pode igualmente resultar em falhas de funcionamento ou ataques de negação de serviço. Estão afetadas as versões anteriores às 8.2.32, 8.3.32, 8.4.23 e 8.5.8. As correções já foram disponibilizadas pela equipa de desenvolvimento do PHP. As organizações que utilizam aplicações baseadas nesta linguagem são aconselhadas a atualizar os sistemas afetados e a rever a utilização de funções de encriptação e de ligações externas para reduzir a superfície de ataque. |