Falhas no PHP podem derrubar aplicações web

Múltiplas vulnerabilidades no PHP podem permitir ataques de negação de serviço e corrupção de memória em aplicações web que ainda usam versões desatualizadas da linguagem. As falhas foram identificadas como CVE-2026-12184 e CVE-2026-14355. Ambas afetam componentes usados em operações comuns de aplicações, como conexões externas seguras e funções de criptografia.

A falha mais grave, CVE-2026-12184, está relacionada ao processamento de conexões HTTP seguras. O problema ocorre quando uma conexão protegida falha durante a validação, por exemplo por causa de um certificado expirado ou nome incompatível.

Em servidores que usam PHP-FPM, a exploração pode derrubar todos os processos de trabalho e causar indisponibilidade completa do serviço. Como o ataque pode ser acionado remotamente, aplicações expostas à internet exigem atenção imediata.

Quando explorada, a vulnerabilidade pode corromper a memória da aplicação. O impacto mais provável é instabilidade, falhas inesperadas e queda do serviço, criando também um cenário de negação de serviço.

As correções estão disponíveis nas versões PHP 8.3.32, 8.4.21 e 8.5.6 para a primeira falha. Para a segunda, a recomendação é atualizar para PHP 8.2.32, 8.3.32, 8.4.23 ou 8.5.8.

Leia mais na mesma categoria:

CibercriminososNotíciasPatches e CorreçõesVulnerabilidades