Am 7. Mai 2026 hat das PHP-Team gleichzeitig vier Security-Releases veröffentlicht: PHP 8.5.6, 8.4.21, 8.3.31 und 8.2.31. Neun CVEs, verteilt auf FPM, SOAP, DOM, MBString und Standard-Library. Dazu kommen drei Symfony-Maintenance-Releases (6.4.38, 7.4.10, 8.0.10) mit Bugfixes für Cache, Messenger und AssetMapper.
Was Sie in 10 Minuten erfahren:
- Warum die XSS-Lücke im PHP-FPM-Status-Endpoint eine typische Monitoring-Falle ist
- Welche der 9 CVEs Ihre Symfony- und Shopware-Projekte konkret betreffen
- Warum PHP 8.1 EOL und PHP 8.2 Security-Only jetzt einen Audit-Befund begründen
Für Agenturen mit mehreren Kundenprojekten auf verschiedenen PHP-Versionen ist diese Release-Welle ein guter Anlass, den Versionsstand systematisch zu prüfen. Wer noch PHP 8.1 einsetzt (EOL seit 31.12.2025), hat mit den neuen CVEs jetzt einen dokumentierbaren Audit-Befund. PHP 8.2 erhält nur noch Security-Patches bis 31.12.2026. Danach ist auch dort Schluss.
Impact-Tabelle: Alle 9 CVEs auf einen Blick
CVE | Bereich | Schwere | Betrifft | Aktion |
|---|---|---|---|---|
CVE-2026-6735 | FPM | XSS | Jeder mit /status-Endpoint | Sofort patchen |
CVE-2026-7259 | MBString | Null-Pointer | mb_ereg-Nutzer | Patchen |
CVE-2026-6104 | MBString | Out-of-bounds | Encoding-Validierung | Patchen |
CVE-2026-7263 | DOM | Doppelte xmlns | XML-Verarbeitung | Patchen |
CVE-2026-29078/29079 | DOM/Lexbor | Upstream-Fix | HTML-Parser | Patchen |
CVE-2026-6722 | SOAP | Stale Pointer | B2B-ERP-Integration | Sofort patchen |
CVE-2026-7261 | SOAP | Use-after-free | SOAP mit Sessions | Sofort patchen |
CVE-2026-7262 | SOAP | NULL-Check | Apache-Map | Patchen |
CVE-2026-7568 | Standard | Integer-Overflow | char-Array-Ops | Patchen |
Betrifft Sie das? Schnelltest in 30 Sekunden
Ja, sofort relevant wenn: Sie PHP-FPM mit exponiertem /status-Endpoint betreiben, SOAP-basierte ERP-Integrationen nutzen (SAP, DATEV, Navision), oder XML/DOM-Verarbeitung in Ihren Applikationen einsetzen.
Auf dem Radar behalten wenn: Sie PHP 8.2 oder 8.3 einsetzen und regelmäßige Security-Patches einplanen. Update ist Pflicht, aber nicht notfallmäßig.
Nicht akut wenn: Sie bereits auf PHP 8.4.21 oder 8.5.6 laufen. Prüfen Sie trotzdem den FPM-Status-Endpoint.
Warum ist die FPM-XSS-Lücke eine Monitoring-Falle?
CVE-2026-6735 betrifft den PHP-FPM-Status-Endpoint (/status oder /fpm-status). Dieser Endpoint zeigt Pool-Informationen, aktive Prozesse und Request-Details. Viele Monitoring-Setups (Prometheus, Grafana, Datadog) scrapen diesen Endpoint regelmäßig.
Das Problem: Der Endpoint hat User-Eingaben unescaped in die HTML-Ausgabe übernommen. Ein Angreifer, der einen Request mit präparierten Query-Parametern an den FPM-Prozess sendet, kann JavaScript im Status-Endpoint injizieren. Das JavaScript wird ausgeführt, wenn ein Admin die Status-Seite im Browser aufruft.
# Prüfen ob Ihr FPM-Status-Endpoint exponiert ist:
# In der Nginx-Config:
location ~ ^/status$ {
# RISIKO: Wenn das ohne IP-Restriction konfiguriert ist
fastcgi_pass unix:/run/php/php-fpm.sock;
include fastcgi_params;
}
# Empfehlung: IP-Restriction + Update
location ~ ^/status$ {
allow 127.0.0.1;
allow 10.0.0.0/8;
deny all;
fastcgi_pass unix:/run/php/php-fpm.sock;
}Ein häufiger Fehler, den ich in Audits sehe: Der FPM-Status-Endpoint ist in der Nginx-Config aktiviert, aber nicht auf interne IPs beschränkt. Bei Managed Hosting (Mittwald, Hetzner Cloud) ist das Risiko geringer, weil der Endpoint meist nicht exponiert ist. Bei Custom-Setups mit Nginx: Sofort prüfen.
🔍 Kommt Ihnen das bekannt vor?
Viele meiner Kunden standen vor genau dieser Herausforderung. In einem kostenlosen Erstgespräch analysiere ich Ihre Situation und gebe eine ehrliche Einschätzung.
Kostenloses Erstgespräch anfragen →⏱️ Antwort binnen 24 Stunden
Welche CVEs betreffen SOAP-basierte B2B-Integrationen?
Drei der neun CVEs betreffen die SOAP-Extension. Das klingt nach einem Nischenthema, ist aber für den deutschen Agenturmarkt hochrelevant. SOAP ist in B2B-ERP-Integrationen (SAP, DATEV, Microsoft Dynamics, Navision) immer noch der Standard.
CVE-2026-6722 (Stale Pointer): Ein veralteter Pointer in SOAP_GLOBAL(ref_map) wird beim Apache-Map-Handling nicht korrekt invalidiert. Kann zu Speicherzugriffsverletzungen und Crashes führen.
CVE-2026-7261 (Use-after-free): Nach einem Header-Parsing-Fehler mit SOAP_PERSISTENCE_SESSION greift PHP auf bereits freigegebenen Speicher zu. Das ist der kritischste der drei SOAP-Bugs, weil Use-after-free-Schwachstellen potenziell zu Code-Execution führen können.
CVE-2026-7262 (Broken NULL-Check): Eine fehlende NULL-Prüfung im Apache-Map-Handling kann zu Crashes führen.
Was bedeuten die DOM- und MBString-CVEs für Web-Applikationen?
Die DOM-CVEs (CVE-2026-7263, CVE-2026-29078/29079) betreffen XML-Verarbeitung und den HTML-Parser (Lexbor). Für Symfony-Projekte relevant, wenn Sie XML-Feeds parsen, XSLT-Transformationen durchführen oder den HTML-Sanitizer nutzen.
Die MBString-CVEs (CVE-2026-7259, CVE-2026-6104) betreffen Encoding-Validierung. mb_ereg_search_init() und mbfl_name2encoding_ex() können bei manipulierten Eingaben Null-Pointer-Dereferenzen und Out-of-bounds-Zugriffe auslösen. In der Praxis: Relevant für Login-Formulare, Upload-Validierung und alles, was User-Eingaben auf korrektes Encoding prüft.
# PHP-Version prüfen und updaten
$ php -v
# Muss 8.5.6, 8.4.21, 8.3.31 oder 8.2.31 sein
# Debian/Ubuntu:
$ sudo apt update && sudo apt upgrade
# Docker: Image-Tag aktualisieren
$ docker pull php:8.4.21-fpm-alpineWarum PHP 8.1 EOL jetzt ein Audit-Befund ist
PHP 8.1 ist seit 31.12.2025 End-of-Life. Es gibt keine Security-Patches mehr. Die neun CVEs von Mai 2026 werden nicht für PHP 8.1 gefixt. Wer noch auf 8.1 läuft, hat offene Schwachstellen ohne Patch-Möglichkeit. PHP 8.2 erhält nur noch Security-Patches bis 31.12.2026.
Laut HeroDevs' PHP-EOL-Timeline laufen immer noch erhebliche Anteile der PHP-Installationen auf EOL-Versionen. Für Agenturen ist das jetzt mit CVE-Belegen begründbar: "Ihr Server hat neun ungepatchte Sicherheitslücken, weil PHP 8.1 keine Updates mehr erhält."
Wie ich im JIT-Arithmetik-Artikel beschrieben habe, kumulieren sich PHP-Updates. Wer den Versionssprung aufschiebt, muss irgendwann mehrere Versionen auf einmal überspringen. Von PHP 8.1 auf 8.4 ist ein signifikanter Sprung mit Breaking Changes (Readonly Properties, Intersection Types, Property Hooks). Als PHP-Entwickler mit Fokus auf KMU-Projekte begleite ich solche Migrationen regelmäßig.
⚡ Unterstützung bei der Umsetzung?
Ich unterstütze KMU und Agenturen bei PHP- und Symfony-Projekten – von der Architektur bis zum Go-Live.
- Erfahrener PHP & Symfony-Entwickler
- Transparente Kommunikation & faire Konditionen
- Remote oder vor Ort im Raum Oldenburg
⏱️ Antwort binnen 24 Stunden
📞 Oder direkt anrufen: 04481 - 9099658
Symfony-Maintenance-Releases: Was bringen 6.4.38, 7.4.10 und 8.0.10?
Parallel zu den PHP-Security-Releases hat Symfony drei Bugfix-Versionen veröffentlicht. Wichtig: Das sind reguläre Bugfix-Patches, keine Security-Releases.
Fix | Komponente | Relevant für |
|---|---|---|
Compound-Constraint mit verschachteltem Composite | Validator | Komplexe Form-Validierung |
Relay-Extension 0.22.0 Kompatibilität | Cache | Redis-Cache mit Relay |
DelaySeconds nicht mehr überschrieben | Messenger (SQS) | AWS-Queue-Integrationen |
CSP-Nonce nicht mehr in Polyfill | AssetMapper | Alle Projekte mit CSP-Header |
Flow-Collections mit &anchor | Yaml | Komplexe YAML-Konfigurationen |
Inline-Attachments korrigiert | Mailer (Azure) | Azure-Mail-Integration |
Für die meisten Agentur-Projekte ist der Cache/Relay-Fix und der AssetMapper-CSP-Fix am relevantesten. Wenn Sie Relay als Redis-Extension nutzen (empfohlen für High-Performance-Setups), löst das Update einen Kompatibilitätskonflikt mit DBAL <4.3.
Was sollten Sie als nächstes tun?
Aus der Praxis
Was mir bei Code-Reviews und Einarbeitungen in Bestandssysteme häufig begegnet: PHP-Versionen, die seit Monaten nicht aktualisiert wurden, weil "es ja noch läuft". FPM-Status-Endpoints ohne IP-Restriction, die aus der initialen Server-Einrichtung übrig sind. Und SOAP-Integrationen, die seit Jahren unverändert laufen und nie auf Security-Updates geprüft werden. In 4 von 5 Projekten, die ich übernehme, finde ich mindestens eine dieser Lücken.
Sofort: PHP-Version auf allen Servern prüfen (php -v). Wenn älter als die gepatchten Versionen: Update einplanen. FPM-Status-Endpoint prüfen und auf interne IPs beschränken.
Diese Woche: Symfony-Maintenance-Releases einspielen (composer update symfony/*). Composer-Audit ausführen (composer audit --locked). SOAP-Integrationen auf die betroffenen Patterns prüfen (Session-Persistenz, Apache-Map).
Diesen Monat: Wenn noch auf PHP 8.1: Versionsupgrade auf 8.4 planen. PHP 8.2 hat noch Security-Support bis Ende 2026, aber das Zeitfenster schließt sich.
# Kompletter Security-Check in 5 Befehlen:
$ php -v # PHP-Version prüfen
$ composer audit --locked # Bekannte CVEs in Dependencies
$ composer show symfony/* | head # Symfony-Versionen prüfen
$ grep -r "fpm-status\|/status" /etc/nginx/ # FPM-Endpoint finden
$ php -m | grep soap # SOAP-Extension aktiv?Zusammenfassung
9 CVEs in einer Release-Welle. FPM-XSS (Monitoring-Falle), drei SOAP-Bugs (B2B-ERP-Integration), DOM/Lexbor-Fixes und MBString-Encoding-Lücken.
PHP 8.1 EOL = Audit-Befund. Keine Patches mehr, neun offene Schwachstellen. PHP 8.2 Security-Only bis Ende 2026.
Symfony 6.4.38 / 7.4.10 / 8.0.10 sind Bugfix-Patches. Cache/Relay-Kompatibilität und AssetMapper-CSP-Fix sind die relevantesten.
FPM-Status-Endpoint ist die am häufigsten übersehene Angriffsfläche. IP-Restriction als Sofortmaßnahme.
Die nächste reguläre PHP-Release-Runde kommt in vier Wochen. Wer jetzt aktualisiert, hat bis dahin Ruhe.
🚀 Lassen Sie uns über Ihr Projekt sprechen
In einem kostenlosen 30-Minuten-Erstgespräch analysiere ich Ihre Anforderungen und gebe konkrete Empfehlungen – unverbindlich und ehrlich.
Termin vereinbaren →