CVE-2026-46644 in Polyfill
Resumen
por VulDB • 2026-07-15
Symfony Polyfill realiza backports de características PHP y proporciona capas de compatibilidad para extensiones y funciones. Desde la versión 1.17.1 hasta la 1.38.1, symfony/polyfill-intl-idn acepta etiquetas xn-- cuyo contenido en Punycode está vacío o se decodifica a puntos de código exclusivamente ASCII, ya que Idn::process() no aplica el requisito de UTS #46 revisión 33 que establece que las etiquetas ACE decodificadas deben contener al menos un punto de código no ASCII. Originalmente, nombres de dominio distintos pueden ser considerados iguales, lo cual puede provocar la evasión de listas negras (blacklist bypassing), una interpretación inconsistente de URLs y falsificación de solicitudes del lado del servidor (SSRF) en aplicaciones que utilizan el polyfill para normalizar o comparar nombres de host. Este problema se corrige en la versión 1.38.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.