Php

4 Haziran 2026’da PHP ekibi iki güncelleme yayımladı: PHP 8.4.22 ve PHP 8.5.7 — ikisi de rutin hata düzeltme sürümleri. Dikkat çeken nokta şu: 8.2 güncellemesi yok, 8.3 güncellemesi yok. Bu bir gözden kaçırma değil; sürüm döngüsünün tasarlandığı gibi işlemesi. Bir PHP dalı aktif desteği bitirince, yalnızca uygun güvenlik açıkları ortaya çıktığında güvenlik yaması alır. Rutin hata düzeltmeleri durur. Haziran bir hata düzeltme ayıydı; 8.2 ve 8.3 bu döngünün dışında kaldı. ...

7 Mayıs 2026’da PHP ekibi, desteklenen dört dal için eş zamanlı güvenlik güncellemeleri yayımladı: PHP 8.5.6, 8.4.21, 8.3.31 ve 8.2.31. Her dal “güvenlik güncellemesi” olarak işaretlendiğinde bu, “uygun bir bakım penceresinde hallederim” kategorisine giren bir güncelleme değil demektir. Özellikle PHP-FPM çalıştıran sunucular için bu sürümde giderilen XSS açığı bugün ilgilenmeyi hak ediyor. FPM Durum Sayfasındaki XSS (CVE-2026-6735) CVE-2026-6735, PHP-FPM’nin durum (/status) sayfasından kaynaklanıyor: istek URI’si HTML çıktısına yeterince temizlenmeden yansıtılıyor. CVSS 4.0 puanı 7,3. Saldırgan, FPM durum sayfasına erişimi olan birini özel hazırlanmış bir URL’ye yönlendirirse kurbanın tarayıcısında rastgele JavaScript çalıştırabiliyor; bu da oturum çalma gibi saldırılara kapı aralıyor; özellikle durum sayfası dahili bir izleme panosuna açıksa. ...