PT-2026-39445 · Php+3 · Php+3

Conradfd@Proton.Me

Publicado

2026-05-07

Atualizado

2026-06-04

CVE-2026-6735

CVSS v4.0

7.3

Alta

Vetor

AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:P/S:P/AU:Y/RE:L/U:Amber

Nome do Software Vulnerável e Versões Afetadas PHP versões 8.2.0 até 8.2.30 PHP versões 8.3.0 até 8.3.30 PHP versões 8.4.0 até 8.4.20 PHP versões 8.5.0 até 8.5.5

Descrição A sanitização inadequada de dados do usuário permite que um invasor componha uma URL que executa código JavaScript arbitrário (Cross-Site Scripting) na máquina do usuário ao visualizar a página de status do PHP-FPM.

Recomendações Atualizar para a versão 8.2.31 Atualizar para a versão 8.3.31 Atualizar para a versão 8.4.21 Atualizar para a versão 8.5.6

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALSA-2026:22142

ALSA-2026:22143

ALSA-2026:22305

ALSA-2026:23388

BIT-LIBPHP-2026-6735

BIT-PHP-2026-6735

BIT-PHP-MIN-2026-6735

CVE-2026-6735

OESA-2026-2342

OESA-2026-2343

OESA-2026-2344

OESA-2026-2420

OESA-2026-2421

OPENSUSE-SU-2026:10747-1

RHSA-2026:14125

RHSA-2026:22142

RHSA-2026:22143

RHSA-2026:22305

RHSA-2026:23388

USN-8336-1

Produtos afetados

Linuxmint

Php

Rocky Linux

Ubuntu

PT-2026-39445 · Php+3 · Php+3

CVE-2026-6735

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 86