PHP 8.3.31: Parches críticos de seguridad corrigen múltiples vulnerabilidades y Windows estrena compresión nativa
- 12 May 2026 05:23 PM
El equipo de desarrollo de PHP ha lanzado la versión 8.3.31, una actualización de seguridad prioritaria que soluciona múltiples vulnerabilidades clasificadas como críticas. Disponible desde el 4 de mayo de 2026, este parche aborda fallos de ejecución remota de código en la extensión SOAP, inyección SQL en PDO Firebird, XSS en la página de estado de PHP-FPM y una vulnerabilidad de denegación de servicio en mbstring. También introduce por primera vez soporte nativo para compresión Brotli y Zstd en cURL para Windows, cerrando una brecha de rendimiento de años para los desarrolladores que utilizan este sistema operativo en sus equipos de cómputo.
El lenguaje de programación PHP, que impulsa aproximadamente el 75% de los sitios web a nivel mundial, ha publicado su versión 8.3.31, una actualización catalogada como crítica por los equipos de seguridad.
Esta revisión, además de incorporar mejoras funcionales para entornos Windows, se centra en mitigar fallos de corrupción de memoria e inyección que podrían permitir la ejecución remota de código o la filtración de datos.
Vulnerabilidades críticas corregidas
Esta versión soluciona múltiples vulnerabilidades que afectaban a versiones 8.3.x anteriores.
A continuación se detallan las más críticas:
| CVE | Componente Afectado | Riesgo | Descripción Resumida |
|---|---|---|---|
| CVE-2026-6722 | Extensión SOAP | Crítico (RCE) | Use-After-Free que permite ejecución remota de código mediante solicitudes SOAP maliciosas. |
| CVE-2026-6735 | PHP-FPM | Alto (XSS) | XSS en página de estado que permite ejecutar JavaScript arbitrario en el navegador del administrador. |
| CVE-2025-14179 | PDO Firebird | Alto (SQLi) | Inyección SQL mediante bytes NUL en cadenas entrecomilladas. |
| CVE-2026-7259 | Extensión mbstring | Alto (DoS) | Desreferenciación de puntero nulo que provoca caída del proceso PHP. |
La amenaza silenciosa: RCE en SOAP (CVE-2026-6722)
La vulnerabilidad más grave reside en el mecanismo de manejo de memoria de la extensión SOAP, que permite la ejecución remota de código mediante solicitudes maliciosas.
Los servidores que exponen servicios SOAP al público son especialmente vulnerables, por lo que los administradores deben priorizar esta actualización.
XSS en PHP-FPM: riesgo de compromiso administrativo
El fallo CVE-2026-6735 permite a un atacante componer una URL maliciosa que, al ser visualizada por un administrador en la página de estado de PHP-FPM, ejecuta código JavaScript arbitrario en su navegador. Esto podría derivar en robo de cookies de sesión y compromiso total del servidor.
SQL injection en PDO Firebird y DoS en mbstring
En PDO Firebird, el manejo incorrecto de bytes NUL permite inyección SQL cuando valores controlados por el atacante son procesados mediante PDO::quote().
Por otro lado, la vulnerabilidad en mbstring (CVE-2026-7259) provoca una desreferenciación de puntero nulo al pasar codificaciones no soportadas a mb_regex_encoding(), lo que hace colapsar el proceso PHP y provoca una denegación de servicio.
Novedades funcionales para Windows
Aparte de los parches de seguridad, esta versión introduce mejoras específicas para el ecosistema Windows:
| Novedad | Impacto |
|---|---|
| Soporte Brotli y Zstd en cURL para Windows | Permite a PHP en Windows negociar formatos modernos de compresión con APIs y servicios cloud. |
| Compatibilidad con OpenSSL 4.0 | Evita fallos de handshake y validación de certificados al actualizar la librería criptográfica. |
Anteriormente, los desarrolladores en Windows tenían que implementar soluciones manuales para lograr la compresión Brotli.
Esta actualización, gracias al trabajo del contribuidor Shivam Mathur, equipara finalmente la experiencia de Windows con la de otros sistemas operativos.
Ámbito de la actualización y versiones afectadas
El parche afecta a un amplio espectro de versiones del lenguaje, reflejando la criticidad de los fallos descubiertos.
Según el aviso de seguridad CERT-FR, las siguientes versiones deben ser actualizadas:
| Versión de PHP | Versión Parcheada | Estado de Soporte |
|---|---|---|
| 8.2.x | 8.2.31 | Soporte de seguridad activo hasta diciembre 2026 |
| 8.3.x | 8.3.31 | Soporte activo |
| 8.4.x | 8.4.21 | Soporte activo |
| 8.5.x | 8.5.6 | Soporte activo |
Agencias gubernamentales de ciberseguridad como el CERT-FR ya han emitido avisos urgentes recomendando la actualización, citando los riesgos de denegación de servicio remota, inyección SQL y XSS.
Recomendaciones para administradores
Cómo actualizar
- Descarga directa: Desde el sitio web oficial de PHP (php.net)
- Gestores de paquetes: En distribuciones Linux mediante
apt,yum, etc. - Windows: Binarios disponibles en el sitio oficial
Pasos a seguir
- Actualizar inmediatamente, especialmente si el servidor expone servicios SOAP o páginas de estado de PHP-FPM.
- Revisar registros del servidor tras aplicar el parche para identificar cualquier incompatibilidad residual.
- Considerar la migración a versiones más recientes antes del fin del soporte.
PHP 8.3 recibirá soporte de seguridad hasta diciembre de 2026, por lo que se recomienda iniciar la planificación de migración a versiones 8.4 o 8.5 sin demora.