PHP 8.5.8 y 8.4.23 corrigen un fallo de corrupción de memoria en openssl_encrypt()

El equipo de PHP publicó ayer, 2 de julio de 2026, las versiones 8.5.8 y 8.4.23 con varios parches de seguridad que conviene aplicar sin demora si mantienes servidores en producción. No es una release con features nuevas, es puro mantenimiento correctivo, pero de la clase que puede dejar un servidor expuesto si se ignora.

Corrupción de memoria en openssl_encrypt()

El fallo más serio (GH-22187) afecta a openssl_encrypt() cuando se usa el modo AES-WRAP-PAD: bajo ciertas condiciones se produce corrupción de memoria en el heap. Si tu aplicación cifra datos con ese modo concreto, es motivo suficiente para actualizar hoy mismo.

Bypass en la protección de rutas .phar

El segundo fallo relevante permite saltarse la protección del directorio mágico .phar a través de Phar::addEmptyDir(), cuando la ruta empieza por /.phar. Los archivos .phar empaquetan aplicaciones PHP completas, así que un bypass aquí puede facilitar la manipulación de rutas dentro del paquete.

Otros dos fallos corregidos

La release incluye además una corrección de doble liberación de memoria en gdImageSetStyle() (GH-22121), parte de la extensión GD para procesamiento de imágenes, y un problema de caché de herencia en Opcache que aparecía con autoloading reentrante (GH-20469), capaz de provocar comportamientos inconsistentes en aplicaciones que cargan clases de forma dinámica bajo carga.

Cómo actualizar

Si usas PHP 8.5.x, sube a la 8.5.8; si sigues en la rama 8.4, la versión parcheada es la 8.4.23. Ambas están disponibles ya en los canales habituales de descarga y en los gestores de paquetes de las principales distribuciones. No hay cambios de compatibilidad que deban preocuparte, es una actualización de las que se aplican y se olvidan.

Todos los detalles técnicos, con los números de commit exactos, están en el changelog de la versión en PHP Watch.

Imagen: Pexels / Markus Spiske

COMPARTE ESTA NOTICIA

COMPARTIR EN FACEBOOK
COMPARTIR EN TWITTER
COMPARTIR EN LINKEDIN
COMPARTIR EN WHATSAPP