CVE-2026-45067 in Symfony
الملخص
بحسب VulDB • 15/07/2026
### الوصف
يُعد `Symfony\Component\Mime\Address` كائناً قيمياً (value-object) تمرّ من خلاله جميع عناوين بريد Symfony Mailer (إلى/نسخة إلى/نسخة مخفية إلى/from/الرد على). تم توثيق دالة البناء الخاصة به بأنها تقوم بالتحقق من صحة العنوان وإلقاء استثناء في حال إدخال غير صالح، لذا يعامله المطورون كحد أمني.
تقبل دالة البناء عناوين بريد إلكتروني يكون الجزء المحلي منها (القسم الموجود قبل الرمز `@`) عبارة عن *سلسلة محاطة بعلامات اقتباس* وفقاً لمعيار RFC-5322 وتحتوي على بايتات `\r\n` خام — مثل `"x\r\nBcc: attacker@evil"@example.com`. يتم لاحقاً إصدار العنوان المخزن كما هو حرفياً في (1) رؤوس الرسالة المُصاغة و(2) أسطر البروتوكول `MAIL FROM:<...>` / `RCPT TO:<...>` الخاصة بـ `SmtpTransport`، مما يحوّل تسلسل CRLF المضمن إلى رأس بريدي جديد و/أو أمر SMTP جديد.
### الحل
تقوم دالة البناء لـ `Address` الآن برفض العناوين التي تحتوي على فواصل أسطر.
يتوفر التصحيح الخاص بهذه المشكلة [هنا](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) لفرع الإصدار 5.4.
### الشكر والتقدير
نود أن نشكر Claude Mythos Preview (من خلال Project Glasswing) للإبلاغ عن المشكلة وتقديم الحل.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.