← volver
CVE-2026-6735

XSS within PHP-FPM status endpoint

CVSS 7.3 HIGHEPSS 0.2%CWE-79
Vexday Risk Score
21Bajo
Decisión SSVC (CISA)
Track
Sin señal de explotación → monitorear
CVSS 7.3EPSS 0.2%KEV nãoPoC Nuclei Metasploit Patch
Ciclo de vida
10 may 2026Publicada en NVD
Recomendación: Monitorear — sin señal de explotación por ahora.
In PHP versions 8.2.* before 8.2.31, 8.3.* before 8.3.31, 8.4.* before 8.4.21, 8.5.* before 8.5.6, due to improper sanitation of user data, it allows an attacker to compose an URL, which will cause the target to execute arbitrary JavaScript code (XSS) on the target's machine when the target is viewing the PHP-FPM status page.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:P/S:P/AU:Y/RE:L/U:Amber
Productos afectados
PHP Group · PHP

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/php/php-src/security/advisories/GHSA-7qg2-v9fj-4mwv