CVE-2026-49208 in Symfonyالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تُعد Symfony UX نظامًا بيئيًا للغة JavaScript مخصصًا لـ Symfony. في الإصدارات من 2.8.0 حتى 2.35.x، وفي الإصدار 3.1.0، عندما يتم تحديد نوع خاصية `#[LiveProp]` على أنه `DateTimeInterface` دون تكوين تنسيق صريح، تقوم الدالة `Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue()` بالرجوع إلى استخدام `new $className($value)`، مما يسمح للقيم النصية النسبية المقدمة من العميل (مثل "now"، أو "tomorrow"، أو "+10 years") بتجاوز فحوصات منطق الأعمال القائمة على الوقت في خاصية التاريخ القابلة للكتابة والتي لا تحتوي على تنسيق. تم إصلاح هذه المشكلة في الإصدارات 2.36.0 و3.1.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

28/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379863

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!