Múltiplas vulnerabilidades no PHP podem permitir ataques de negação de serviço e corrupção de memória em aplicações web que ainda usam versões desatualizadas da linguagem. As falhas foram identificadas como CVE-2026-12184 e CVE-2026-14355. Ambas afetam componentes usados em operações comuns de aplicações, como conexões externas seguras e funções de criptografia.
A falha mais grave, CVE-2026-12184, está relacionada ao processamento de conexões HTTP seguras. O problema ocorre quando uma conexão protegida falha durante a validação, por exemplo por causa de um certificado expirado ou nome incompatível.
Em servidores que usam PHP-FPM, a exploração pode derrubar todos os processos de trabalho e causar indisponibilidade completa do serviço. Como o ataque pode ser acionado remotamente, aplicações expostas à internet exigem atenção imediata.
Quando explorada, a vulnerabilidade pode corromper a memória da aplicação. O impacto mais provável é instabilidade, falhas inesperadas e queda do serviço, criando também um cenário de negação de serviço.
As correções estão disponíveis nas versões PHP 8.3.32, 8.4.21 e 8.5.6 para a primeira falha. Para a segunda, a recomendação é atualizar para PHP 8.2.32, 8.3.32, 8.4.23 ou 8.5.8.



