CVE-2026-7568

Nome do Software Vulnerável e Versões Afetadas PHP versões 8.2.0 até 8.2.30 PHP versões 8.3.0 até 8.3.30 PHP versões 8.4.0 até 8.4.20 PHP versões 8.5.0 até 8.5.5

Descrição A função metaphone() em ext/standard/metaphone.c utiliza uma variável do tipo signed int para rastrear a posição atual dentro da string de entrada. Quando uma string superior a 2.147.483.647 bytes é processada, ocorre um estouro de inteiro assinado (signed integer overflow). Isso leva a um comportamento indefinido, especificamente uma leitura fora dos limites (out-of-bounds read), que pode causar uma falha de segmentação ou acesso a memória não relacionada, impactando potencialmente a disponibilidade do processo PHP.

Recomendações Atualizar a versão do PHP 8.2.x para 8.2.31 Atualizar a versão do PHP 8.3.x para 8.3.31 Atualizar a versão do PHP 8.4.x para 8.4.21 Atualizar a versão do PHP 8.5.x para 8.5.6 Como medida paliativa temporária, restrinja o comprimento das strings de entrada passadas para a função metaphone() para menos de 2.147.483.647 bytes.