PHP Security-Releases: 9 CVEs von XSS bis Use-after-free

PHP Security-Releases: 9 CVEs von XSS bis Use-after-free

Am 7. Mai 2026 erschienen PHP 8.5.6, 8.4.21, 8.3.31 und 8.2.31 mit neun CVEs. Die XSS-Lücke im FPM-Status-Endpoint ist eine typische Monitoring-Falle, drei SOAP-Bugs betreffen B2B-ERP-Integrationen. Dazu: Warum PHP 8.1 EOL jetzt ein Audit-Befund ist und was die Symfony-Maintenance-Releases 6.4.38, 7.4.10 und 8.0.10 bringen.

Dennis Schwenker-Sanders 6 Min. Lesezeit

Am 7. Mai 2026 hat das PHP-Team gleichzeitig vier Security-Releases veröffentlicht: PHP 8.5.6, 8.4.21, 8.3.31 und 8.2.31. Neun CVEs, verteilt auf FPM, SOAP, DOM, MBString und Standard-Library. Dazu kommen drei Symfony-Maintenance-Releases (6.4.38, 7.4.10, 8.0.10) mit Bugfixes für Cache, Messenger und AssetMapper.

Was Sie in 10 Minuten erfahren:

  1. Warum die XSS-Lücke im PHP-FPM-Status-Endpoint eine typische Monitoring-Falle ist
  2. Welche der 9 CVEs Ihre Symfony- und Shopware-Projekte konkret betreffen
  3. Warum PHP 8.1 EOL und PHP 8.2 Security-Only jetzt einen Audit-Befund begründen

Für Agenturen mit mehreren Kundenprojekten auf verschiedenen PHP-Versionen ist diese Release-Welle ein guter Anlass, den Versionsstand systematisch zu prüfen. Wer noch PHP 8.1 einsetzt (EOL seit 31.12.2025), hat mit den neuen CVEs jetzt einen dokumentierbaren Audit-Befund. PHP 8.2 erhält nur noch Security-Patches bis 31.12.2026. Danach ist auch dort Schluss.

Impact-Tabelle: Alle 9 CVEs auf einen Blick


CVE

Bereich

Schwere

Betrifft

Aktion

CVE-2026-6735

FPM

XSS

Jeder mit /status-Endpoint

Sofort patchen

CVE-2026-7259

MBString

Null-Pointer

mb_ereg-Nutzer

Patchen

CVE-2026-6104

MBString

Out-of-bounds

Encoding-Validierung

Patchen

CVE-2026-7263

DOM

Doppelte xmlns

XML-Verarbeitung

Patchen

CVE-2026-29078/29079

DOM/Lexbor

Upstream-Fix

HTML-Parser

Patchen

CVE-2026-6722

SOAP

Stale Pointer

B2B-ERP-Integration

Sofort patchen

CVE-2026-7261

SOAP

Use-after-free

SOAP mit Sessions

Sofort patchen

CVE-2026-7262

SOAP

NULL-Check

Apache-Map

Patchen

CVE-2026-7568

Standard

Integer-Overflow

char-Array-Ops

Patchen

Betrifft Sie das? Schnelltest in 30 Sekunden

Ja, sofort relevant wenn: Sie PHP-FPM mit exponiertem /status-Endpoint betreiben, SOAP-basierte ERP-Integrationen nutzen (SAP, DATEV, Navision), oder XML/DOM-Verarbeitung in Ihren Applikationen einsetzen.

Auf dem Radar behalten wenn: Sie PHP 8.2 oder 8.3 einsetzen und regelmäßige Security-Patches einplanen. Update ist Pflicht, aber nicht notfallmäßig.

Nicht akut wenn: Sie bereits auf PHP 8.4.21 oder 8.5.6 laufen. Prüfen Sie trotzdem den FPM-Status-Endpoint.

Warum ist die FPM-XSS-Lücke eine Monitoring-Falle?

CVE-2026-6735 betrifft den PHP-FPM-Status-Endpoint (/status oder /fpm-status). Dieser Endpoint zeigt Pool-Informationen, aktive Prozesse und Request-Details. Viele Monitoring-Setups (Prometheus, Grafana, Datadog) scrapen diesen Endpoint regelmäßig.

Das Problem: Der Endpoint hat User-Eingaben unescaped in die HTML-Ausgabe übernommen. Ein Angreifer, der einen Request mit präparierten Query-Parametern an den FPM-Prozess sendet, kann JavaScript im Status-Endpoint injizieren. Das JavaScript wird ausgeführt, wenn ein Admin die Status-Seite im Browser aufruft.

# Prüfen ob Ihr FPM-Status-Endpoint exponiert ist:
# In der Nginx-Config:
location ~ ^/status$ {
# RISIKO: Wenn das ohne IP-Restriction konfiguriert ist
fastcgi_pass unix:/run/php/php-fpm.sock;
include fastcgi_params;
}

# Empfehlung: IP-Restriction + Update
location ~ ^/status$ {
allow 127.0.0.1;
allow 10.0.0.0/8;
deny all;
fastcgi_pass unix:/run/php/php-fpm.sock;
}

Ein häufiger Fehler, den ich in Audits sehe: Der FPM-Status-Endpoint ist in der Nginx-Config aktiviert, aber nicht auf interne IPs beschränkt. Bei Managed Hosting (Mittwald, Hetzner Cloud) ist das Risiko geringer, weil der Endpoint meist nicht exponiert ist. Bei Custom-Setups mit Nginx: Sofort prüfen.

KurzCVE-2026-6735 betrifft jeden exponierten PHP-FPM-Status-Endpoint. IP-Restriction als Sofortmaßnahme, PHP-Update als permanenter Fix.

🔍 Kommt Ihnen das bekannt vor?

Viele meiner Kunden standen vor genau dieser Herausforderung. In einem kostenlosen Erstgespräch analysiere ich Ihre Situation und gebe eine ehrliche Einschätzung.

Kostenloses Erstgespräch anfragen →

⏱️ Antwort binnen 24 Stunden

Welche CVEs betreffen SOAP-basierte B2B-Integrationen?

Drei der neun CVEs betreffen die SOAP-Extension. Das klingt nach einem Nischenthema, ist aber für den deutschen Agenturmarkt hochrelevant. SOAP ist in B2B-ERP-Integrationen (SAP, DATEV, Microsoft Dynamics, Navision) immer noch der Standard.

CVE-2026-6722 (Stale Pointer): Ein veralteter Pointer in SOAP_GLOBAL(ref_map) wird beim Apache-Map-Handling nicht korrekt invalidiert. Kann zu Speicherzugriffsverletzungen und Crashes führen.

CVE-2026-7261 (Use-after-free): Nach einem Header-Parsing-Fehler mit SOAP_PERSISTENCE_SESSION greift PHP auf bereits freigegebenen Speicher zu. Das ist der kritischste der drei SOAP-Bugs, weil Use-after-free-Schwachstellen potenziell zu Code-Execution führen können.

CVE-2026-7262 (Broken NULL-Check): Eine fehlende NULL-Prüfung im Apache-Map-Handling kann zu Crashes führen.

KurzDrei SOAP-CVEs in einem Release. Wer SOAP-basierte ERP-Integrationen betreibt (SAP, DATEV, Navision), muss zeitnah patchen.

Was bedeuten die DOM- und MBString-CVEs für Web-Applikationen?

Die DOM-CVEs (CVE-2026-7263, CVE-2026-29078/29079) betreffen XML-Verarbeitung und den HTML-Parser (Lexbor). Für Symfony-Projekte relevant, wenn Sie XML-Feeds parsen, XSLT-Transformationen durchführen oder den HTML-Sanitizer nutzen.

Die MBString-CVEs (CVE-2026-7259, CVE-2026-6104) betreffen Encoding-Validierung. mb_ereg_search_init() und mbfl_name2encoding_ex() können bei manipulierten Eingaben Null-Pointer-Dereferenzen und Out-of-bounds-Zugriffe auslösen. In der Praxis: Relevant für Login-Formulare, Upload-Validierung und alles, was User-Eingaben auf korrektes Encoding prüft.

# PHP-Version prüfen und updaten
$ php -v
# Muss 8.5.6, 8.4.21, 8.3.31 oder 8.2.31 sein

# Debian/Ubuntu:
$ sudo apt update && sudo apt upgrade

# Docker: Image-Tag aktualisieren
$ docker pull php:8.4.21-fpm-alpine
KurzDOM- und MBString-CVEs betreffen XML-Verarbeitung und Encoding-Validierung. Für Web-Applikationen mit User-Eingaben und XML-Feeds relevant.

Warum PHP 8.1 EOL jetzt ein Audit-Befund ist

PHP 8.1 ist seit 31.12.2025 End-of-Life. Es gibt keine Security-Patches mehr. Die neun CVEs von Mai 2026 werden nicht für PHP 8.1 gefixt. Wer noch auf 8.1 läuft, hat offene Schwachstellen ohne Patch-Möglichkeit. PHP 8.2 erhält nur noch Security-Patches bis 31.12.2026.

Laut HeroDevs' PHP-EOL-Timeline laufen immer noch erhebliche Anteile der PHP-Installationen auf EOL-Versionen. Für Agenturen ist das jetzt mit CVE-Belegen begründbar: "Ihr Server hat neun ungepatchte Sicherheitslücken, weil PHP 8.1 keine Updates mehr erhält."

Wie ich im JIT-Arithmetik-Artikel beschrieben habe, kumulieren sich PHP-Updates. Wer den Versionssprung aufschiebt, muss irgendwann mehrere Versionen auf einmal überspringen. Von PHP 8.1 auf 8.4 ist ein signifikanter Sprung mit Breaking Changes (Readonly Properties, Intersection Types, Property Hooks). Als PHP-Entwickler mit Fokus auf KMU-Projekte begleite ich solche Migrationen regelmäßig.

KurzPHP 8.1 EOL + 9 ungepatchte CVEs = dokumentierbarer Audit-Befund. PHP 8.2 hat nur noch 7 Monate Security-Support.

⚡ Unterstützung bei der Umsetzung?

Ich unterstütze KMU und Agenturen bei PHP- und Symfony-Projekten – von der Architektur bis zum Go-Live.

  • Erfahrener PHP & Symfony-Entwickler
  • Transparente Kommunikation & faire Konditionen
  • Remote oder vor Ort im Raum Oldenburg
Projekt besprechen →

⏱️ Antwort binnen 24 Stunden

📞 Oder direkt anrufen: 04481 - 9099658

Symfony-Maintenance-Releases: Was bringen 6.4.38, 7.4.10 und 8.0.10?

Parallel zu den PHP-Security-Releases hat Symfony drei Bugfix-Versionen veröffentlicht. Wichtig: Das sind reguläre Bugfix-Patches, keine Security-Releases.


Fix

Komponente

Relevant für

Compound-Constraint mit verschachteltem Composite

Validator

Komplexe Form-Validierung

Relay-Extension 0.22.0 Kompatibilität

Cache

Redis-Cache mit Relay

DelaySeconds nicht mehr überschrieben

Messenger (SQS)

AWS-Queue-Integrationen

CSP-Nonce nicht mehr in Polyfill

AssetMapper

Alle Projekte mit CSP-Header

Flow-Collections mit &anchor

Yaml

Komplexe YAML-Konfigurationen

Inline-Attachments korrigiert

Mailer (Azure)

Azure-Mail-Integration

Für die meisten Agentur-Projekte ist der Cache/Relay-Fix und der AssetMapper-CSP-Fix am relevantesten. Wenn Sie Relay als Redis-Extension nutzen (empfohlen für High-Performance-Setups), löst das Update einen Kompatibilitätskonflikt mit DBAL <4.3.

KurzDie Symfony-Releases sind Bugfix-Patches, keine Security-Fixes. Für Projekte mit Relay-Cache, AWS SQS oder Azure Mail relevant.

Was sollten Sie als nächstes tun?

Aus der Praxis

Was mir bei Code-Reviews und Einarbeitungen in Bestandssysteme häufig begegnet: PHP-Versionen, die seit Monaten nicht aktualisiert wurden, weil "es ja noch läuft". FPM-Status-Endpoints ohne IP-Restriction, die aus der initialen Server-Einrichtung übrig sind. Und SOAP-Integrationen, die seit Jahren unverändert laufen und nie auf Security-Updates geprüft werden. In 4 von 5 Projekten, die ich übernehme, finde ich mindestens eine dieser Lücken.

Sofort: PHP-Version auf allen Servern prüfen (php -v). Wenn älter als die gepatchten Versionen: Update einplanen. FPM-Status-Endpoint prüfen und auf interne IPs beschränken.

Diese Woche: Symfony-Maintenance-Releases einspielen (composer update symfony/*). Composer-Audit ausführen (composer audit --locked). SOAP-Integrationen auf die betroffenen Patterns prüfen (Session-Persistenz, Apache-Map).

Diesen Monat: Wenn noch auf PHP 8.1: Versionsupgrade auf 8.4 planen. PHP 8.2 hat noch Security-Support bis Ende 2026, aber das Zeitfenster schließt sich.

# Kompletter Security-Check in 5 Befehlen:
$ php -v # PHP-Version prüfen
$ composer audit --locked # Bekannte CVEs in Dependencies
$ composer show symfony/* | head # Symfony-Versionen prüfen
$ grep -r "fpm-status\|/status" /etc/nginx/ # FPM-Endpoint finden
$ php -m | grep soap # SOAP-Extension aktiv?
KurzPHP-Version prüfen, FPM-Endpoint absichern, SOAP-Status checken, Symfony updaten. In dieser Reihenfolge.

Zusammenfassung

9 CVEs in einer Release-Welle. FPM-XSS (Monitoring-Falle), drei SOAP-Bugs (B2B-ERP-Integration), DOM/Lexbor-Fixes und MBString-Encoding-Lücken.

PHP 8.1 EOL = Audit-Befund. Keine Patches mehr, neun offene Schwachstellen. PHP 8.2 Security-Only bis Ende 2026.

Symfony 6.4.38 / 7.4.10 / 8.0.10 sind Bugfix-Patches. Cache/Relay-Kompatibilität und AssetMapper-CSP-Fix sind die relevantesten.

FPM-Status-Endpoint ist die am häufigsten übersehene Angriffsfläche. IP-Restriction als Sofortmaßnahme.

Die nächste reguläre PHP-Release-Runde kommt in vier Wochen. Wer jetzt aktualisiert, hat bis dahin Ruhe.

🚀 Lassen Sie uns über Ihr Projekt sprechen

In einem kostenlosen 30-Minuten-Erstgespräch analysiere ich Ihre Anforderungen und gebe konkrete Empfehlungen – unverbindlich und ehrlich.

Termin vereinbaren →

Häufige Fragen

Betrifft CVE-2026-6735 auch Managed-Hosting-Kunden?

Bei den meisten Managed-Hosting-Anbietern (Mittwald, Hetzner Managed) ist der FPM-Status-Endpoint nicht öffentlich exponiert. Trotzdem sollten Sie prüfen, ob Ihre Nginx- oder Apache-Konfiguration den Endpoint freigegeben hat. Bei Custom-Setups und Root-Servern ist das Risiko höher. Das PHP-Update behebt das Problem unabhängig von der Hosting-Art.

Muss ich updaten, wenn ich kein SOAP nutze?

Ja. Drei der neun CVEs betreffen SOAP, aber die restlichen sechs betreffen MBString (Encoding-Validierung), DOM (XML/HTML-Parsing), Standard-Library (Integer-Overflow) und FPM (XSS). Die Wahrscheinlichkeit, dass mindestens eine dieser Komponenten in Ihrer Applikation genutzt wird, ist hoch. MBString wird in praktisch jeder Symfony-App verwendet.

Ist PHP 8.2 noch sicher einsetzbar?

Ja, bis 31.12.2026. PHP 8.2 erhält Security-Patches (wie in dieser Release-Welle: 8.2.31). Aber: Keine Bug-Fixes, keine neuen Features. Nach Dezember 2026 gibt es keine Updates mehr. Planen Sie das Upgrade auf 8.4 oder 8.5 jetzt ein, um nicht unter Zeitdruck zu geraten.

Wie teste ich ob mein Server bereits gepatcht ist?

Führen Sie php -v auf dem Server aus. Die Versionsnummer muss mindestens 8.5.6, 8.4.21, 8.3.31 oder 8.2.31 sein. Bei Managed Hosting: Prüfen Sie im Control Panel oder fragen Sie den Support. Manche Hoster patchen automatisch, andere erst nach manueller Freigabe. Pantheon hat die Updates am 12.05.2026 bestätigt.

Sind die Symfony-Maintenance-Releases sicherheitsrelevant?

Nein, es sind reguläre Bugfix-Releases. Symfony hat keine Security-Advisory für 6.4.38, 7.4.10 oder 8.0.10 veröffentlicht. Die Fixes betreffen Stabilität und Kompatibilität (Cache/Relay, Messenger/SQS, AssetMapper/CSP). Ein Update ist empfohlen, aber nicht notfallmäßig nötig.

Artikel teilen: