El periodo de soporte de PHP 7.4 ha finalizado el día 28 de noviembre de 2022, es decir que ya se encuentra obsoleto, ya no recibirá actualizaciones de seguridad por parte del fabricante.
Actualmente dicha versión de PHP puede verse afectada por nuevas vulnerabilidades que no ya serán corregidas por el fabricante. Esto permitiría a un atacante aprovechar las vulnerabilidades nuevas o explotar las conocidas cuyos parches de seguridad aún no hayan sido aplicados, pudiendo acceder a información confidencial, realizar denegación de servicios (DoS), entre otros. Algunas de las principales vulnerabilidades conocidas son:
- CVE-2021-21708, de severidad crítica, con puntuación de 9.8. Dicha vulnerabilidad se debe a una falla en la validación de entrada de datos numéricos en la función php_filter_float(), que permitiría a un atacante realizar ejecución remota de código (RCE) y denegación de servicio (DoS). Hemos emitido una noticia al respecto con los detalles en el siguiente enlace.
- CVE-2022-31625, de severidad crítica, con puntuación de 9.8. Esta vulnerabilidad se debe al uso de una matriz no inicializada en la función pg_query_params(), que permitiría a un atacante remoto controlar los parámetros de consulta y realizar así ejecución remota de código (RCE) en el sistema afectado. Hemos emitido una noticia al respecto con los detalles en el siguiente enlace.
Recomendamos migrar a la última versión disponible de PHP en el siguiente enlace:
Nota: Puede seguir los siguientes pasos para actualizar su aplicación.
Referencias:
- https://www.php.net/supported-versions.php
- https://twitter.com/elhackernet/status/1597503049228234752?s=46&t=pb7FPVFNsa6wRewfaBAqQA
- https://nvd.nist.gov/vuln/detail/CVE-2021-21708
- https://nvd.nist.gov/vuln/detail/CVE-2022-31625
- http://php.net/downloads.php
- https://github.com/Azure/app-service-linux-docs/blob/master/Runtime_Support/php_support.md#end-of-life-for-php-74