Le 6 juillet 2026, le CERT-FR a publié un avis de sécurité concernant plusieurs vulnérabilités identifiées dans PHP. Ces failles pourraient permettre à un attaquant de provoquer un déni de service ou d’exécuter du code à distance sur des systèmes vulnérables.
Les versions concernées de PHP sont les suivantes :
- PHP 8.2.* avant la version 8.2.32
- PHP 8.3.* avant la version 8.3.32
- PHP 8.4.* avant la version 8.4.23
- PHP 8.5.* avant la version 8.5.6
Les vulnérabilités identifiées incluent des problèmes de gestion de mémoire dans la fonction openssl_encrypt avec l’algorithme AES-WRAP-PAD, pouvant entraîner une corruption de mémoire et potentiellement une exécution de code à distance. (ubuntu.com)
Il est fortement recommandé aux administrateurs système et aux développeurs de mettre à jour leurs installations PHP vers les versions corrigées mentionnées ci-dessus afin de se prémunir contre ces vulnérabilités.
Pour plus de détails, veuillez consulter l’avis de sécurité du CERT-FR. (cert.ssi.gouv.fr)