CVE-2026-47767 in Symfonyinfo

Zusammenfassung

von VulDB • 15.07.2026

Symfony ist ein PHP-Framework für Web- und Konsolenanwendungen sowie eine Sammlung wiederverwendbarer PHP-Komponenten. Von Version 5.4.46 bis einschließlich 5.4.52, 6.4.40, 7.4.12 und 8.0.12 wurde die Behebung von CVE-2024-50340 so implementiert, dass die Laufzeit-Parsing-Funktion für argv an eine leere $_GET-Variablen geprüft wird (empty($_GET)). Allerdings können parse_str() und das Web-SAPI unterschiedliche Ergebnisse liefern, wodurch es einem Angreifer ermöglicht wird, einen speziell konstruierten Query-String zu verwenden, der $_GET leer lässt, während $_SERVER['argv'] weiterhin vom Angreifer kontrollierte Flags wie --env oder --no-debug enthält, die APP_ENV oder APP_DEBUG ändern können. Dieses Problem wurde in den Versionen 5.4.52, 6.4.40, 7.4.12 und 8.0.12 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

20.05.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378612

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!