Se han descubierto vulnerabilidades de seguridad en PHP que podrían permitir a los actores maliciosos ejecutar ataques de inyección SQL o provocar condiciones de denegación de servicio.
Productos afectados
- Versiones anteriores a 8.4.10.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-1735: con una puntuación de 7.5 en CVSS v4.0. Existe una vulnerabilidad de inyección SQL en la extensión PostgreSQL. La misma podría ocurrir cuando PHP usa funciones de escape sin un manejo adecuado de los parámetros de error, específicamente al no pasar parámetros de error a la función PQescapeStringConn().
CVE-2025-6491: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio de la extensión SOAP. La misma se podría manifestar cuando se crea una instancia de SoapVar con un nombre completo que excede los 2 GB de tamaño, lo que desencadena una desreferencia de puntero nulo que resulta en la finalización inmediata de la aplicación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.php.net/ChangeLog-8.php#8.4.10
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6491
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-1735
- https://www.tenable.com/cve/CVE-2025-1735
- https://www.tenable.com/cve/CVE-2025-6491