CVE-2026-46644 in Polyfill
Zusammenfassung
von VulDB • 14.07.2026
Symfony Polyfill ported Rückwärtskompatibilität (Backports) von PHP-Features bereit und bietet Kompatibilitätslayer für Erweiterungen und Funktionen. Von Version 1.17.1 bis 1.38.1 akzeptiert symfony/polyfill-intl-idn xn--Labels, deren Punycode-Payload leer ist oder nur in ASCII-Codewerte decodiert wird, da Idn::process() die Anforderung von UTS #46 Revision 33 nicht durchsetzt, wonach dekodierte ACE-Labels mindestens einen Nicht-ASCII-Codewert enthalten müssen. Ursprünglich ungleiche Domainnamen können fälschlicherweise als gleich betrachtet werden, was zu Umgehungen von Blacklists, inkonsistenter URL-Parsing und Server-Side Request Forgery (SSRF) in Anwendungen führen kann, die das Polyfill zur Kanonisierung oder zum Vergleich von Hostnames verwenden. Dieses Problem wurde in Version 1.38.1 behoben.
Once again VulDB remains the best source for vulnerability data.