PHP 8.4.21: La actualización que tapa 10 agujeros de seguridad y cierra una brecha histórica en el JIT
- 13 May 2026 11:24 AM
El equipo de desarrollo de PHP ha lanzado la versión 8.4.21, una actualización prioritaria que corrige al menos 10 vulnerabilidades documentadas (CVE), incluyendo riesgos críticos de ejecución remota de código e inyección SQL. Disponible desde el 7 de mayo de 2026, este parche también introduce soporte nativo para compresión Brotli y Zstd en cURL para equipos con Windows, cerrando una brecha de rendimiento de años y solucionando regresiones graves en la compilación JIT que afectaban a servidores de alto rendimiento.
El lenguaje de programación PHP, que impulsa aproximadamente el 75% de los sitios web a nivel mundial, ha publicado su versión 8.4.21, una actualización clasificada como "necesaria" por los equipos de seguridad.
Esta revisión no solo mitiga fallos de corrupción de memoria e inyección que podrían permitir la ejecución remota de código o la filtración de datos, sino que también estabiliza el núcleo del motor tras la detección de regresiones en su compilador JIT.
Múltiples Vulnerabilidades Críticas Corregidas
Esta versión soluciona fallos que afectaban a componentes fundamentales del lenguaje, varios de ellos reportados inicialmente durante las fases de prueba de la Release Candidate (RC) y ahora consolidados en la versión estable.
| CVE | Componente Afectado | Riesgo | Descripción Resumida |
|---|---|---|---|
| CVE-2026-6722 | Extensión SOAP | Crítico (RCE) | Use-After-Free que permite ejecución remota de código mediante solicitudes SOAP maliciosas. |
| CVE-2025-14179 | PDO Firebird | Alto (SQLi) | Inyección SQL mediante bytes NUL en cadenas entrecomilladas. |
| CVE-2026-6104 | Extensión mbstring | Medio/Alto | Buffer over-read global en mb_convert_encoding() al pasar codificaciones con caracteres NUL, permitiendo caídas del sistema o divulgación de información. |
| CVE-2026-7259 | Extensión mbstring | Alto (DoS) | Desreferenciación de puntero nulo en mb_ereg_search_init() que provoca caída del proceso PHP. |
| CVE-2026-6735 | PHP-FPM | Alto (XSS) | XSS en página de estado que permite ejecutar JavaScript en el navegador del administrador. |
| CVE-2026-7261, 7262, 7263, 7568, 42371 | Varios extensiones | Medio/Variable | Correcciones adicionales en DOM, Session, Phar y otros componentes. |
La Tormenta Perfecta de las Extensiones: RCE, SQLi y XSS
La vulnerabilidad más grave (CVE-2026-6722) reside en el mecanismo de manejo de memoria de la extensión SOAP, que permite la ejecución remota de código mediante solicitudes maliciosas. Los servidores que exponen servicios SOAP al público son especialmente vulnerables.
Paralelamente, el fallo en el driver PDO Firebird (CVE-2025-14179) representa un riesgo para quienes utilizan esta base de datos. El sistema copia cadenas mediante strncat() y se detiene al encontrar un byte NUL, lo que elimina la comilla de cierre y permite a un atacante inyectar SQL.
En el frente del administrador web, CVE-2026-6735 permite a un atacante componer una URL maliciosa que, al ser visualizada en la página de estado de PHP-FPM, ejecuta código JavaScript, pudiendo derivar en robo de cookies de sesión y compromiso total del servidor.
Estabilización del Motor Interno y JIT
Esta versión, que originalmente comenzó como una Release Candidate (RC1) el 21 de abril , pone especial énfasis en la estabilidad del "cerebro" de PHP.
Se han solucionado múltiples errores de aserción fallidos en la recolección de basura (garbage collection) y en la compilación JIT (Just-In-Time) del Opcache.
Estos errores solían aparecer bajo carga pesada o durante el apagado de scripts, provocando cierres del servidor en momentos críticos.
Un cambio específico repara una regresión en la optimización condicional de ramas (branch optimization), que podía provocar que scripts en caché se ejecutaran de forma incorrecta o dispararan errores fatales.
La compilación JIT ahora gestiona correctamente la asignación de registros, cerrando una fuente de errores silenciosos en servidores de alto tráfico.
Windows Cierra la Brecha: Compresión Nativa de Alto Rendimiento
Una de las mejoras más esperadas llega para los desarrolladores que utilizan entornos Windows.
Con PHP 8.4.21, la extensión cURL ahora soporta de forma nativa los algoritmos de compresión Brotli y Zstd.
Anteriormente, los desarrolladores en Windows tenían que implementar soluciones manuales o parchear bibliotecas para lograr estas compresiones modernas.
Este cambio acelera significativamente las llamadas a APIs y la descarga de activos grandes, equiparando la funcionalidad de Windows con la de macOS y Linux sin necesidad de reescribir el stack de red.
Corrección de Fugas de Memoria y Mejoras en Session y Phar
En entornos de alto tráfico, la fuga de memoria silenciosa es el enemigo silencioso de los servidores.
Esta versión incluye parches críticos en Phar y Session que limpian las filtraciones de memoria que se acumulaban durante procesos de larga duración (cron jobs o workers), previniendo el agotamiento de los límites de memoria y la necesidad de reinicios.
La recolección de basura del módulo Session ya no pierde memoria cuando las devoluciones de llamada devuelven valores referenciados, mientras que Phar ha sido revisado en sus rutinas de recuperación de offset, adición de archivos y verificación de firmas para evitar el consumo excesivo de RAM.
Recomendaciones para Desarrolladores y Administradores
Cómo Actualizar
- Distribuciones Linux: A través de gestores de paquetes (
apt,yum,dnf). - Windows: Binarios oficiales disponibles en php.net.
- Compilación manual: Desde el código fuente en la página de releases.
Estrategia de Migración
Dado que esta actualización incluye cambios en el manejador de memoria de mbstring (CVE-2026-6104) y en las funciones de strings multibyte, se recomienda desplegar en un entorno de staging (pruebas) antes de aplicarla en producción.
Si el stack actual funciona con estabilidad, esperar un ciclo completo de pruebas es una práctica segura.
Sin embargo, debido a la criticidad de las vulnerabilidades parcheadas, especialmente CVE-2026-6722, los administradores deben priorizar esta actualización.