El equipo de PHP publicó ayer, 2 de julio de 2026, las versiones 8.5.8 y 8.4.23 con varios parches de seguridad que conviene aplicar sin demora si mantienes servidores en producción. No es una release con features nuevas, es puro mantenimiento correctivo, pero de la clase que puede dejar un servidor expuesto si se ignora.
Corrupción de memoria en openssl_encrypt()
El fallo más serio (GH-22187) afecta a openssl_encrypt() cuando se usa el modo AES-WRAP-PAD: bajo ciertas condiciones se produce corrupción de memoria en el heap. Si tu aplicación cifra datos con ese modo concreto, es motivo suficiente para actualizar hoy mismo.
Bypass en la protección de rutas .phar
El segundo fallo relevante permite saltarse la protección del directorio mágico .phar a través de Phar::addEmptyDir(), cuando la ruta empieza por /.phar. Los archivos .phar empaquetan aplicaciones PHP completas, asà que un bypass aquà puede facilitar la manipulación de rutas dentro del paquete.
Otros dos fallos corregidos
La release incluye además una corrección de doble liberación de memoria en gdImageSetStyle() (GH-22121), parte de la extensión GD para procesamiento de imágenes, y un problema de caché de herencia en Opcache que aparecÃa con autoloading reentrante (GH-20469), capaz de provocar comportamientos inconsistentes en aplicaciones que cargan clases de forma dinámica bajo carga.
Cómo actualizar
Si usas PHP 8.5.x, sube a la 8.5.8; si sigues en la rama 8.4, la versión parcheada es la 8.4.23. Ambas están disponibles ya en los canales habituales de descarga y en los gestores de paquetes de las principales distribuciones. No hay cambios de compatibilidad que deban preocuparte, es una actualización de las que se aplican y se olvidan.
Todos los detalles técnicos, con los números de commit exactos, están en el changelog de la versión en PHP Watch.
Imagen: Pexels / Markus Spiske
