CVE-2026-46644 in Polyfillinformación

Resumen

por VulDB • 2026-07-15

Symfony Polyfill realiza backports de características PHP y proporciona capas de compatibilidad para extensiones y funciones. Desde la versión 1.17.1 hasta la 1.38.1, symfony/polyfill-intl-idn acepta etiquetas xn-- cuyo contenido en Punycode está vacío o se decodifica a puntos de código exclusivamente ASCII, ya que Idn::process() no aplica el requisito de UTS #46 revisión 33 que establece que las etiquetas ACE decodificadas deben contener al menos un punto de código no ASCII. Originalmente, nombres de dominio distintos pueden ser considerados iguales, lo cual puede provocar la evasión de listas negras (blacklist bypassing), una interpretación inconsistente de URLs y falsificación de solicitudes del lado del servidor (SSRF) en aplicaciones que utilizan el polyfill para normalizar o comparar nombres de host. Este problema se corrige en la versión 1.38.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-15

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379057

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!