Se ha descubierto una vulnerabilidad de severidad crítica en productos PHP. Un actor malicioso podría ejecutar código arbitrario de forma remota en los sistemas afectados.
Productos afectados
PHP:
- Versiones 8.5.x anteriores a 8.5.6.
- Versiones 8.4.x anteriores a 8.4.21.
- Versiones 8.3.x anteriores a 8.3.31.
- Versiones 8.2.x anteriores a 8.2.31.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–6722: con una puntuación de 9.5 en CVSS v4.0. Existe una vulnerabilidad de uso de memoria después de su liberación en la extensión SOAP. Un actor malicioso remoto podría, mediante el envío de una solicitud SOAP con un cuerpo especialmente diseñado que contenga claves duplicadas en un nodo apache:Map, lograr la ejecución remota de código en el servidor objetivo.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias