Se ha reportado una vulnerabilidad en PHP de severidad crítica que permitiría a un atacante la ejecución remota de código (RCE). 

Recursos afectados:

Versiones de PHP 7.4.x anteriores a 7.4.30, 8.0.x anteriores a 8.0.20 y 8.1.x anteriores a 8.1.7

Descripción:

Al usar la extensión de base de datos de Postgres, y proporcionar parámetros no válidos a una consulta parametrizada, puede provocar que PHP intente liberar memoria usando datos no inicializados como punteros. Esto podría generar una vulnerabilidad de tipo RCE o una denegación de servicio. A esta vulnerabilidad se le ha asignado el identificador CVE-2022-31625 y tiene una puntuación de 9.8 en CVSS v3.1, por lo que se considera crítica. 

Recomendaciones:

Instalar las actualizaciones correspondientes provistas por el PHP en el siguiente enlace: https://www.php.net/downloads 

Referencias:

• https://nvd.nist.gov/vuln/detail/CVE-2022-31625
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31625