PT-2026-39446 · Php+1 · Php+1

Ilija Tovilo

Publicado

2026-05-07

Atualizado

2026-06-04

CVE-2026-7258

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do Software Vulnerável e Versões Afetadas PHP versões 8.2.0 até 8.2.30 PHP versões 8.3.0 até 8.3.30 PHP versões 8.4.0 até 8.4.20 PHP versões 8.5.0 até 8.5.5

Description Certas funções, incluindo urldecode(), passam caracteres assinados para funções ctype, como isxdigit(). Em sistemas que utilizam caracteres assinados por padrão e funções ctype de busca em tabela otimizadas, como o NetBSD, esse comportamento pode resultar no acesso a um array com um deslocamento negativo, podendo causar a negação de serviço.

Recommendations Atualizar a versão do PHP 8.2.x para 8.2.31 Atualizar a versão do PHP 8.3.x para 8.3.31 Atualizar a versão do PHP 8.4.x para 8.4.21 Atualizar a versão do PHP 8.5.x para 8.5.6

Correção

DoS

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2026:22142

ALSA-2026:22143

ALSA-2026:22305

ALSA-2026:23388

BIT-LIBPHP-2026-7258

BIT-PHP-2026-7258

BIT-PHP-MIN-2026-7258

CVE-2026-7258

OESA-2026-2342

OESA-2026-2343

OESA-2026-2344

OESA-2026-2420

OESA-2026-2421

OPENSUSE-SU-2026:10747-1

RHSA-2026:14125

Produtos afetados

Php

Rocky Linux

PT-2026-39446 · Php+1 · Php+1

CVE-2026-7258

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 76