CVE-2026-46644 in Polyfillinfo

Zusammenfassung

von VulDB • 14.07.2026

Symfony Polyfill ported Rückwärtskompatibilität (Backports) von PHP-Features bereit und bietet Kompatibilitätslayer für Erweiterungen und Funktionen. Von Version 1.17.1 bis 1.38.1 akzeptiert symfony/polyfill-intl-idn xn--Labels, deren Punycode-Payload leer ist oder nur in ASCII-Codewerte decodiert wird, da Idn::process() die Anforderung von UTS #46 Revision 33 nicht durchsetzt, wonach dekodierte ACE-Labels mindestens einen Nicht-ASCII-Codewert enthalten müssen. Ursprünglich ungleiche Domainnamen können fälschlicherweise als gleich betrachtet werden, was zu Umgehungen von Blacklists, inkonsistenter URL-Parsing und Server-Side Request Forgery (SSRF) in Anwendungen führen kann, die das Polyfill zur Kanonisierung oder zum Vergleich von Hostnames verwenden. Dieses Problem wurde in Version 1.38.1 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

15.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379057

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!