CVE-2026-49211 in Symfonyالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تُعد Symfony UX نظامًا بيئيًا للغة JavaScript مخصصًا لـ Symfony. في الإصدارات من 2.2.0 حتى 2.36.0، وفي الإصدار 3.1.0، تقوم الدالة `Symfony\UX\Autocomplete\Doctrine\EntitySearchUtil::addSearchClause()` ببناء تعبير LIKE المستخدم بواسطة نقطة النهاية (endpoint) للإكمال التلقائي عن طريق تغليف الاستعلام المقدم من العميل بين علامات النسبة المئوية (%...%) دون الهروب من رموز البدل الخاصة باستعلامات SQL LIKE (أي %، و_، و\). يتيح ذلك للمستخدمين غير المصادق عليهم تحويل نقطة النهاية العامة `BaseEntityAutocompleteType` إلى مُطابِق واسع أو "منجم منطق أعمى" (blind boolean oracle) ضد كل عمود في حقول البحث الافتراضية (`searchable_fields`). تم إصلاح هذه المشكلة في الإصدارات 2.36.0 و3.1.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

28/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379856

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!