CVE-2026-48979

Nome do Software Vulnerável e Versões Afetadas PHP Standard Library (PSL) versões 6.1.0 a 6.1.1 PHP Standard Library (PSL) versão 6.2.0

Description A função PslH2ServerConnection não valida se o total de bytes recebidos em frames DATA corresponde ao cabeçalho content-length declarado no frame HEADERS, o que permite o contrabando de requisições (request smuggling). Isso ocorre quando um cliente malicioso envia mais bytes DATA do que o declarado para contrabandear conteúdo além dos limites de tamanho do nível da aplicação, ou envia menos bytes e fecha o fluxo prematuramente, fazendo com que aplicações que confiam no comprimento declarado se comportem de forma incorreta. Este problema só é acessível para usuários que utilizam PslH2ServerConnection diretamente para aceitar tráfego de clientes não confiáveis.

Recommendations Atualizar as versões 6.1.0 e 6.1.1 para a versão 6.1.2. Atualizar a versão 6.2.0 para a versão 6.2.1. Como medida paliativa temporária, restrinja o uso direto da função PslH2ServerConnection para aceitar tráfego de clientes não confiáveis.