Descoberta e escopo
Vulnerabilidades de segurança foram divulgadas no PHP, uma das linguagens de programação mais amplamente utilizadas na web, permitindo que atacantes disparem condições de negação de serviço (DoS) e causem corrupção de memória. As falhas, rastreadas como CVE-2026-12184 e CVE-2026-14355, foram publicadas através de avisos de segurança oficiais do PHP e afetam várias branches ativas do runtime da linguagem. A correção está disponível nas versões mais recentes, e usuários são fortemente aconselhados a atualizar imediatamente.
Análise técnica do CVE-2026-12184
A vulnerabilidade mais severa, CVE-2026-12184, é uma falha de alto impacto na implementação do wrapper de stream HTTP do PHP. A falha ocorre na função que gerencia conexões HTTP quando a configuração de Transport Layer Security (TLS) falha. Especificamente, quando o PHP tenta estabelecer uma conexão segura e a inicialização do TLS falha, o objeto de stream interno é fechado e redefinido. No entanto, o código continua a executar uma rotina de limpeza que assume que o stream ainda é válido, levando a operações inseguras em uma referência nula.
Esta condição pode ser acionada remotamente causando falhas de validação TLS, como apresentar um certificado expirado ou um nome de peer incompatível. Pesquisadores de segurança demonstraram que a exploração não requer código especialmente elaborado, tornando mais fácil reproduzir em cenários do mundo real. Quando acionada com sucesso, a falha pode travar o PHP FastCGI Process Manager (PHP-FPM), encerrar todos os processos de trabalho e causar uma interrupção completa do serviço.
Análise técnica do CVE-2026-14355
Em um aviso separado, o CVE-2026-14355 descreve uma falha de corrupção de memória na extensão OpenSSL do PHP. A questão está ligada ao uso do algoritmo de criptografia AES-WRAP-PAD, que não é amplamente utilizado, mas ainda está presente em algumas implementações. A vulnerabilidade decorre de cálculos incorretos de tamanho de buffer durante as operações de criptografia. De acordo com o aviso, o buffer de saída é alocado com base no comprimento do texto simples, sem levar em conta o padding necessário ou os metadados adicionais definidos no RFC 5649.
Como resultado, a memória alocada é pequena demais, e a OpenSSL escreve além do limite do buffer durante a criptografia. Isso leva à corrupção do heap do gerenciador de memória Zend, o que pode não travar a aplicação imediatamente, mas pode desencadear falhas mais tarde quando estruturas de memória corrompidas são acessadas. Em ambientes afetados, essa falha pode resultar em falhas de aplicação ou estabilidade degradada, efetivamente permitindo uma condição de negação de serviço.
Impacto e alcance
A vulnerabilidade foi atribuída uma pontuação CVSS v4 refletindo um alto impacto de disponibilidade, pois permite que atacantes não autenticados interrompam serviços de rede. As versões afetadas incluem releases do PHP anteriores a 8.3.32, 8.4.21 e 8.5.6. Para o CVE-2026-14355, a questão afeta versões do PHP anteriores a 8.2.32, 8.3.32, 8.4.23 e 8.5.8. Patches foram lançados para corrigir o dimensionamento de buffer e prevenir condições de sobrescrita de memória.
Medidas de mitigação recomendadas
Organizações que executam serviços baseados em PHP devem priorizar o patching dessas questões e revisar o uso de funções de criptografia e conexões externas para reduzir a exposição. A atualização para as versões corrigidas é a medida mais eficaz. Além disso, equipes de SOC devem monitorar logs de erro relacionados a falhas de TLS e corrupção de memória em servidores PHP, pois podem indicar tentativas de exploração ativas. A revisão de regras de WAF para detectar padrões de tráfego anômalos associados a falhas de handshake TLS também é recomendada.
Perguntas frequentes
É necessário reiniciar os servidores? Sim, após a atualização do PHP, é recomendável reiniciar os serviços PHP-FPM para garantir que as correções sejam carregadas na memória.
Qual a prioridade de correção? Devido ao impacto de negação de serviço e à facilidade de exploração, a correção deve ser tratada como crítica e aplicada o mais rápido possível em ambientes de produção.