CVE-2026-47767 in Symfony
Zusammenfassung
von VulDB • 15.07.2026
Symfony ist ein PHP-Framework für Web- und Konsolenanwendungen sowie eine Sammlung wiederverwendbarer PHP-Komponenten. Von Version 5.4.46 bis einschließlich 5.4.52, 6.4.40, 7.4.12 und 8.0.12 wurde die Behebung von CVE-2024-50340 so implementiert, dass die Laufzeit-Parsing-Funktion für argv an eine leere $_GET-Variablen geprüft wird (empty($_GET)). Allerdings können parse_str() und das Web-SAPI unterschiedliche Ergebnisse liefern, wodurch es einem Angreifer ermöglicht wird, einen speziell konstruierten Query-String zu verwenden, der $_GET leer lässt, während $_SERVER['argv'] weiterhin vom Angreifer kontrollierte Flags wie --env oder --no-debug enthält, die APP_ENV oder APP_DEBUG ändern können. Dieses Problem wurde in den Versionen 5.4.52, 6.4.40, 7.4.12 und 8.0.12 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.