CVE-2026-6735该漏洞影响PHP 8.2.*、8.3.*、8.4.*及8.5.*的多个早期版本。由于PHP-FPM状态页面对用户输入数据缺乏适当的清理和过滤,攻击者能够精心构造恶意URL链接。一旦受害者访问并浏览该链接指向的PHP-FPM状态页面,其浏览器将解析并执行攻击者注入的任意JavaScript代码,从而引发跨站脚本攻击风险。
该漏洞源于PHP-FPM状态页面在处理HTTP请求参数时,对用户提供的输入数据缺乏严格的安全过滤和上下文感知的转义机制。PHP-FPM允许通过URL查询参数(如/?json或特定格式参数)来控制状态页面的展示内容。在受影响版本中,部分参数值被直接反射回HTML响应而未经过滤,导致存在反射型跨站脚本漏洞。攻击者可利用此漏洞构造包含恶意JavaScript代码的特制URL。由于该页面通常用于运维监控,攻击者可能会诱导系统管理员点击该恶意链接。一旦管理员在未认证(或已认证)的会话中访问该链接,恶意脚本将在其浏览器环境中执行,可能窃取管理员的Session ID、凭据,或利用管理员的权限对后台进行进一步的操作。CVSS评分中的S:C表示该漏洞可能影响到当前页面的上下文范围,增加了攻击的潜在危害。