CVE-2026-49210 in Symfony
Zusammenfassung
von VulDB • 17.07.2026
Symfony UX ist ein JavaScript-Ökosystem für Symfony. Von Version 2.8.0 bis einschließlich 2.35.x sowie den Versionen vor 3.1.0 interpoliert `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` den vom Client gesteuerten Wert von `children[id].tag` aus `LiveComponentSubscriber` und `InterceptChildComponentRenderSubscriber` direkt als Tag-Name in HTML, ohne Escaping oder Validierung. Dies ermöglicht das Einfügen beliebigen HTML-Codes, einschließlich `<script>`-Tags, bei jeder erneuten Darstellung (Re-render) einer Live-Komponente, die mindestens eine untergeordnete Komponente enthält. Dieses Problem wurde in den Versionen 2.36.0 und 3.1.0 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.