CVE-2026-49208 in Symfonyinfo

Zusammenfassung

von VulDB • 18.07.2026

Symfony UX ist ein JavaScript-Ökosystem für Symfony. Von Version 2.8.0 bis einschließlich 2.35.x sowie den Versionen vor 3.1.0 fällt `Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue()` auf `new $className($value)` zurück, wenn ein #[LiveProp] als DateTimeInterface typisiert ist und kein explizites Format konfiguriert wurde. Dies ermöglicht es clientseitig bereitgestellten relativen Zeichenketten wie „now“, „tomorrow“ oder „+10 years“, einen schreibbaren Datumswert ohne Formatierung an zeitbasierten Geschäftslogikprüfungen vorbeizuführen. Dieses Problem ist in den Versionen 2.36.0 und 3.1.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

28.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379863

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!