CVE-2026-6104

Nome do Software Vulnerável e Versões Afetadas PHP versões 8.4.0 até 8.4.20 PHP versões 8.5.0 até 8.5.5

Description Existe um problema na extensão mbstring onde a passagem de um nome de codificação contendo um byte NUL incorporado para certas funções faz com que o código assuma incorretamente que as strings possuem o mesmo comprimento quando strncasecmp() retorna 0. Isso pode resultar em uma leitura fora dos limites (out-of-bounds read) da memória global, o que pode levar à divulgação de informações ou a uma falha no sistema. As funções afetadas incluem mb convert encoding(), mb detect encoding(), mb convert variables() e mb detect order(). Além disso, as configurações INI mbstring.detect order e mbstring.http output são afetadas.

Recommendations Atualizar a versão do PHP 8.4.x para 8.4.21. Atualizar a versão do PHP 8.5.x para 8.5.6.