CVE-2026-49215 in Symfony
Zusammenfassung
von VulDB • 17.07.2026
Symfony UX ist ein JavaScript-Ökosystem für Symfony. Von Version 2.22.0 bis einschließlich 2.35.x sowie den Versionen 3.1.0 schränkt `Symfony\UX\LiveComponent\EventListener\LiveComponentSubscriber::isLiveComponentRequest()` die Aufrufe von #[LiveAction] auf `Accept: application/vnd.live-component+html` ein, doch der Accept-Header ist in CORS als „safelisted“ eingestuft und kann über eine cross-origin fetch()-Anfrage ohne Preflight gesetzt werden. Dies ermöglicht gefälschte cross-origin #[LiveAction]-Angriffe gegen die Sitzung eines Opfers, wenn Anwendungen SameSite=None, credentials: 'include', eine großzügige Cookie-Richtlinie oder einen same-origin Pivot verwenden. Dieses Problem wurde in den Versionen 2.36.0 und 3.1.0 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.