CVE-2026-49208 in Symfonyinformación

Resumen

por VulDB • 2026-07-17

Symfony UX es un ecosistema de JavaScript para Symfony. Desde la versión 2.8.0 hasta las versiones 2.35.x, y en la rama 3.1.0, cuando una propiedad marcada con #[LiveProp] está tipada como DateTimeInterface y no se configura ningún formato explícito, Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue() recurre a new $className($value), lo que permite que cadenas relativas proporcionadas por el cliente, como "now", "tomorrow" o "+10 years", hagan que una propiedad de fecha escribible y sin formato supere las comprobaciones basadas en tiempo. Este problema se corrige en las versiones 2.36.0 y 3.1.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-05-28

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379863

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!