https://blog.kalfaoglu.net/tr/tags/fpm/Recent content in Fpm on kalfaoglu.netHugotrMon, 11 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-11-php-mayis-2026-guvenlik-guncellemeleri-tr/Mon, 11 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-11-php-mayis-2026-guvenlik-guncellemeleri-tr/<p>7 Mayıs 2026&rsquo;da PHP ekibi, desteklenen dört dal için eş zamanlı güvenlik güncellemeleri yayımladı: PHP 8.5.6, 8.4.21, 8.3.31 ve 8.2.31. Her dal &ldquo;güvenlik güncellemesi&rdquo; olarak işaretlendiğinde bu, &ldquo;uygun bir bakım penceresinde hallederim&rdquo; kategorisine giren bir güncelleme değil demektir. Özellikle PHP-FPM çalıştıran sunucular için bu sürümde giderilen XSS açığı bugün ilgilenmeyi hak ediyor.</p> <h2 id="fpm-durum-sayfasındaki-xss-cve-2026-6735">FPM Durum Sayfasındaki XSS (CVE-2026-6735)</h2> <p><a href="https://nvd.nist.gov/vuln/detail/CVE-2026-6735">CVE-2026-6735</a>, PHP-FPM&rsquo;nin durum (<code>/status</code>) sayfasından kaynaklanıyor: istek URI&rsquo;si HTML çıktısına yeterince temizlenmeden yansıtılıyor. CVSS 4.0 puanı 7,3. Saldırgan, FPM durum sayfasına erişimi olan birini özel hazırlanmış bir URL&rsquo;ye yönlendirirse kurbanın tarayıcısında rastgele JavaScript çalıştırabiliyor; bu da oturum çalma gibi saldırılara kapı aralıyor; özellikle durum sayfası dahili bir izleme panosuna açıksa.</p>