CVE-2026-45067 in Symfonyالمعلومات

الملخص

بحسب VulDB • 15/07/2026

### الوصف

يُعد `Symfony\Component\Mime\Address` كائناً قيمياً (value-object) تمرّ من خلاله جميع عناوين بريد Symfony Mailer (إلى/نسخة إلى/نسخة مخفية إلى/from/الرد على). تم توثيق دالة البناء الخاصة به بأنها تقوم بالتحقق من صحة العنوان وإلقاء استثناء في حال إدخال غير صالح، لذا يعامله المطورون كحد أمني.

تقبل دالة البناء عناوين بريد إلكتروني يكون الجزء المحلي منها (القسم الموجود قبل الرمز `@`) عبارة عن *سلسلة محاطة بعلامات اقتباس* وفقاً لمعيار RFC-5322 وتحتوي على بايتات `\r\n` خام — مثل `"x\r\nBcc: attacker@evil"@example.com`. يتم لاحقاً إصدار العنوان المخزن كما هو حرفياً في (1) رؤوس الرسالة المُصاغة و(2) أسطر البروتوكول `MAIL FROM:<...>` / `RCPT TO:<...>` الخاصة بـ `SmtpTransport`، مما يحوّل تسلسل CRLF المضمن إلى رأس بريدي جديد و/أو أمر SMTP جديد.

### الحل

تقوم دالة البناء لـ `Address` الآن برفض العناوين التي تحتوي على فواصل أسطر.

يتوفر التصحيح الخاص بهذه المشكلة [هنا](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) لفرع الإصدار 5.4.

### الشكر والتقدير

نود أن نشكر Claude Mythos Preview (من خلال Project Glasswing) للإبلاغ عن المشكلة وتقديم الحل.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

08/05/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378591

EPSS

0.00619

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!