Se han descubierto vulnerabilidades de severidad alta en el lenguaje de programación PHP. Un actor malicioso podría provocar una denegación de servicio o potencialmente ejecutar código arbitrario.
Productos afectados
- PHP 8.5: versiones anteriores a 8.5.1
- PHP 8.4: versiones anteriores a 8.4.16
- PHP 8.3: versiones anteriores a 8.3.29
- PHP 8.2: versiones anteriores a 8.2.30
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-14180: con una puntuación de 7.5 en CVSS v3.0. Existe una vulnerabilidad de desreferencia de puntero nulo. Ocurre cuando la aplicación desreferencia un puntero que espera que sea válido, pero es nulo. Un actor malicioso podría provocar una denegación de servicios en los sistemas afectados.
CVE-2025-14178: con una puntuación de 7.5 en CVSS v3.0. Existe una vulnerabilidad de desbordamiento de búfer basado en Heap en la función array_merge(). Un actor malicioso podría provocar una corrupción de memoria y potencialmente la ejecución de código arbitrario.
CVE-2025-14177: con una puntuación de 7.5 en CVSS v3.0. Existe una vulnerabilidad de control de acceso insuficiente a la información procesada por la herramienta de almacenamiento en caché de datos de la aplicación. Un actor malicioso podría obtener acceso a los datos almacenados en caché.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.tenable.com/cve/CVE-2025-14180
- https://www.tenable.com/cve/CVE-2025-14177
- https://www.tenable.com/cve/CVE-2025-14178
- https://www.php.net/ChangeLog-8.php