CVE-2026-49211 in Symfony
الملخص
بحسب VulDB • 17/07/2026
تُعد Symfony UX نظامًا بيئيًا للغة JavaScript مخصصًا لـ Symfony. في الإصدارات من 2.2.0 حتى 2.36.0، وفي الإصدار 3.1.0، تقوم الدالة `Symfony\UX\Autocomplete\Doctrine\EntitySearchUtil::addSearchClause()` ببناء تعبير LIKE المستخدم بواسطة نقطة النهاية (endpoint) للإكمال التلقائي عن طريق تغليف الاستعلام المقدم من العميل بين علامات النسبة المئوية (%...%) دون الهروب من رموز البدل الخاصة باستعلامات SQL LIKE (أي %، و_، و\). يتيح ذلك للمستخدمين غير المصادق عليهم تحويل نقطة النهاية العامة `BaseEntityAutocompleteType` إلى مُطابِق واسع أو "منجم منطق أعمى" (blind boolean oracle) ضد كل عمود في حقول البحث الافتراضية (`searchable_fields`). تم إصلاح هذه المشكلة في الإصدارات 2.36.0 و3.1.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.