CVE-2026-45067 in Symfonyinfo

Zusammenfassung

von VulDB • 15.07.2026

### Beschreibung

`Symfony\Component\Mime\Address` ist das Wertobjekt, durch das jede Symfony-Mailer-Adresse (An/Empfänger/Kopie/Blindkopie/Von/Antwort-an) fließt; ihr Konstruktor wird in der Dokumentation als validierend beschrieben und löst bei ungültigen Eingaben eine Ausnahme aus. Daher betrachten Entwickler ihn als Sicherheitsgrenze.

Der Konstruktor akzeptiert E-Mail-Adressen, deren lokaler Teil (der Teil vor `@`) ein RFC-5322-konformer *zitierteter String* ist, der rohe `\r\n`-Bytes enthält — z. B. `"x\r\nBcc: attacker@evil"@example.com`. Die gespeicherte Adresse wird später unverändert in (1) die gerenderten Nachrichtenheader und (2) `SmtpTransport`s Protokollzeilen `MAIL FROM:<...>` / `RCPT TO:<...>` ausgegeben, wodurch das eingebettete CRLF zu einem neuen E-Mail-Header und/oder einem neuen SMTP-Befehl wird.

### Lösung

Der Konstruktor von `Address` lehnt nun Adressen ab, die Zeilenumbrüche enthalten.

Das Patch für dieses Problem ist [hier](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) für Branch 5.4 verfügbar.

### Credits

Wir möchten Claude Mythos Preview (via Project Glasswing) danken, der das Problem gemeldet und den Fix bereitgestellt hat.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

08.05.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378591

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!