7 Mayıs 2026’da PHP ekibi, desteklenen dört dal için eş zamanlı güvenlik güncellemeleri yayımladı: PHP 8.5.6, 8.4.21, 8.3.31 ve 8.2.31. Her dal “güvenlik güncellemesi” olarak işaretlendiğinde bu, “uygun bir bakım penceresinde hallederim” kategorisine giren bir güncelleme değil demektir. Özellikle PHP-FPM çalıştıran sunucular için bu sürümde giderilen XSS açığı bugün ilgilenmeyi hak ediyor.
FPM Durum Sayfasındaki XSS (CVE-2026-6735)
CVE-2026-6735, PHP-FPM’nin durum (/status) sayfasından kaynaklanıyor: istek URI’si HTML çıktısına yeterince temizlenmeden yansıtılıyor. CVSS 4.0 puanı 7,3. Saldırgan, FPM durum sayfasına erişimi olan birini özel hazırlanmış bir URL’ye yönlendirirse kurbanın tarayıcısında rastgele JavaScript çalıştırabiliyor; bu da oturum çalma gibi saldırılara kapı aralıyor; özellikle durum sayfası dahili bir izleme panosuna açıksa.
Çözüm basit: PHP’yi güncelleyin. Durum sayfasının zaten internete açık olmaması gerekir, ama bu ayrı bir konu.
Üç SOAP Bellek Hatası (CVE-2026-7261, CVE-2026-6722, CVE-2026-7262)
PHP’nin SOAP eklentisi, Apache tarzı harita mekanizmasını kullanan istek işleme sürecindeki bellek yönetimi hatalarına yönelik üç yama aldı.
CVE-2026-7261, bir “use-after-free” (serbest bırakıldıktan sonra kullanma) açığı: SOAP_PERSISTENCE_SESSION kullanan bir SoapServer başlık ayrıştırmasında hatayla karşılaşırsa işleyici nesnesini bellekten serbest bırakıyor ama o nesneye işaret eden pointer kalmaya devam ediyor. Bu pointer’a sonraki herhangi bir erişim tanımsız davranışa yol açıyor; pratikte bellek bozulması ya da çökme anlamına geliyor. CVE-2026-6722, Apache haritasının ref_map bileşenindeki benzer bir bayat pointer sorununu; CVE-2026-7262 ise aynı kod yolundaki bozuk bir NULL kontrolünü kapatıyor. Bu üç açık birlikte keşfedildi, birlikte yamandı.
Ödeme altyapısı entegrasyonları, ERP bağlantıları veya kurumsal SOAP tabanlı API’ler kullanıyorsanız bu yamayı acil kategorisine alın.
MBString: İki Bellek Açığı Daha (CVE-2026-7259, CVE-2026-6104)
CVE-2026-7259, mb_ereg_search_init() işlevine belirli girdiler geçildiğinde tetiklenen bir null pointer dereference. CVE-2026-6104 ise mbfl_name2encoding_ex() içinde sınır dışı bellek erişimi. Her ikisi de PHP 8.2’den 8.5’e kadar etkiliyor ve biçimsiz ya da saldırgan kontrolündeki dizi verileriyle tetiklenebiliyor.
Türkçe içerik yayımlayan siteler ve çok baytlı karakter kümeleriyle çalışan uygulamalar mb_* işlev ailesini yoğun kullandığından bu açıklara karşı daha fazla maruz kalma riski taşıyor.
Standart Kütüphane: Tamsayı Taşması ve İşaretsiz Karakter Hatası (CVE-2026-7568, CVE-2026-7258)
CVE-2026-7568, metaphone() işlevindeki karakter dizisi ofset hesaplamasında işaretli tamsayı taşmasını gideriyor. CVE-2026-7258 ise PHP’nin ctype.h işlevlerine işaretsiz karakter (unsigned char) gönderme konusundaki uzun süredir devam eden ihmalini düzeltiyor; bu, C standardının açıkça zorunlu kıldığı bir davranış. İkisi de manşet atlatacak uzaktan kod çalıştırma açıkları değil; ancak otomatik tarayıcıların giderek artan oranda tespit etmeye başladığı tanımsız-davranış tuzakları bu kategoride.
Diğer Güvenlik Düzeltmeleri
DOM eklentisi, CVE-2026-7263 için (C14N() işlevinde tekrarlanan XML ad alanı bildirimleri) yama aldı; ayrıca CVE-2026-29078 ve CVE-2026-29079’u kapsayan lexbor HTML ayrıştırıcı yükseltmesi yapıldı. PDO_Firebird sürücüsü, tırnak içindeki dizelerde NUL baytları üzerinden SQL enjeksiyonuna olanak tanıyan CVE-2025-14179 için yamandı.
Hangi Sürümler Etkileniyor?
PHP 8.2.31 öncesi tüm 8.2.x sürümleri, 8.3.31 öncesi tüm 8.3.x sürümleri, 8.4.21 öncesi tüm 8.4.x sürümleri ve 8.5.6 öncesi tüm 8.5.x sürümleri bu açıkları barındırıyor. PHP 8.1 ve önceki dallar artık güvenlik güncellemesi almıyor; bu dallardaysa tek gerçek yanıt geçiş yapmak.
kalfaoglu.net Müşterileri İçin Ne Anlam İfade Ediyor?
cPanel, DirectAdmin veya Plesk çalıştıran sunucular PHP güncellemelerini kontrol panelinin kendi güncelleme mekanizmaları aracılığıyla alır. cPanel üzerinde EasyApache 4 kullanıyorsanız yamalı PHP derlemeleri deponuzda muhtemelen hazır bekliyor; PHP sürümünüzün güncel olup olmadığını kontrol etmek için destek ekibimizle iletişime geçebilir ya da “PHP Güncelle” görevini çalıştırabilirsiniz. Ondřej Surý’nin Sury deposunu kullanan Debian/Ubuntu sistemlerinde apt-get update && apt-get upgrade php8.4-fpm komutu (dal adını durumunuza göre değiştirin) yeterli.
Sitenizin hangi PHP sürümünü çalıştırdığından emin değilseniz hosting kontrol panelinizin PHP seçicisinden ya da barındırma destek hattımızdan öğrenebilirsiniz. Hedef sürüm numaraları şunlar: kullandığınız dala göre 8.5.6, 8.4.21, 8.3.31 veya 8.2.31.
Tek başına FPM XSS açığı bile bu güncellemeyi “ertelenebilir” değil “zamanında yapılması gereken rutin” kategorisine taşıyor. SOAP ve MBString yamaları, entegrasyon kullanan ya da çok dilli içerik sunan siteler için işi daha da acil kılıyor.
Kaynaklar: PHP 8.4.21 değişiklik günlüğü (PHP.Watch) · GHSA-7qg2-v9fj-4mwv (FPM XSS) · GHSA-m33r-qmcv-p97q (SOAP UAF) · NVD CVE-2026-6735 · Debian/Sury sürüm notları