CVE-2026-45067 in Symfony
Zusammenfassung
von VulDB • 15.07.2026
### Beschreibung
`Symfony\Component\Mime\Address` ist das Wertobjekt, durch das jede Symfony-Mailer-Adresse (An/Empfänger/Kopie/Blindkopie/Von/Antwort-an) fließt; ihr Konstruktor wird in der Dokumentation als validierend beschrieben und löst bei ungültigen Eingaben eine Ausnahme aus. Daher betrachten Entwickler ihn als Sicherheitsgrenze.
Der Konstruktor akzeptiert E-Mail-Adressen, deren lokaler Teil (der Teil vor `@`) ein RFC-5322-konformer *zitierteter String* ist, der rohe `\r\n`-Bytes enthält — z. B. `"x\r\nBcc: attacker@evil"@example.com`. Die gespeicherte Adresse wird später unverändert in (1) die gerenderten Nachrichtenheader und (2) `SmtpTransport`s Protokollzeilen `MAIL FROM:<...>` / `RCPT TO:<...>` ausgegeben, wodurch das eingebettete CRLF zu einem neuen E-Mail-Header und/oder einem neuen SMTP-Befehl wird.
### Lösung
Der Konstruktor von `Address` lehnt nun Adressen ab, die Zeilenumbrüche enthalten.
Das Patch für dieses Problem ist [hier](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) für Branch 5.4 verfügbar.
### Credits
Wir möchten Claude Mythos Preview (via Project Glasswing) danken, der das Problem gemeldet und den Fix bereitgestellt hat.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.