CVE-2026-49210 in Symfony
الملخص
بحسب VulDB • 17/07/2026
تُعد Symfony UX نظامًا بيئيًا للغة JavaScript مخصصًا لـ Symfony. بدءًا من الإصدار 2.8.0 وحتى 2.36.0، وكذلك في الإصدار 3.1.0، تقوم الدالة `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` بإدخال قيمة `children[id].tag` التي يتحكم فيها العميل والمستمدة من `LiveComponentSubscriber` و `InterceptChildComponentRenderSubscriber` مباشرةً في كود HTML كاسم لوسم (Tag) دون أي عملية هروب للحروف أو تحقق، مما يتيح حقن عناصر HTML تعسفية، بما في ذلك وسوم `<script>`، عند إعادة عرض أي مكون حيوي (Live Component) يحتوي على عنصر فرعي واحد على الأقل. تم إصلاح هذه المشكلة في الإصدارات 2.36.0 و 3.1.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.