Vulnerabilidad RCE crítica en PHP 

Se ha reportado un aviso de seguridad sobre una vulnerabilidad en PHP de Debian, que permitiría a un atacante la ejecución remota de código (RCE) en el sistema afectado. 

La vulnerabilidad identificada como CVE-2022-31625, de severidad “crítica” y puntuación de 9.8. Esta vulnerabilidad se debe al uso de una matriz no inicializada en la función pg_query_params(), que permitiría a un atacante remoto controlar los parámetros de consulta y realizar así ejecución remota de código (RCE) en el sistema afectado. 

Las versiones de los productos afectados en PHP son:  

• PHP, versiones anteriores a 7.4.30-1+deb11u1. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

• https://www.php.net/downloads 

Referencias: 

• https://www.cert.gov.py/noticias/vulnerabilidad-de-desbordamiento-de-buffer-en-php/ 
• https://www.cybersecurity-help.cz/vdb/SB2022071133 

• https://nvd.nist.gov/vuln/detail/CVE-2022-31625  
• https://www.php.net/downloads 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31625