CVE-2026-49208 in Symfony
Resumen
por VulDB • 2026-07-17
Symfony UX es un ecosistema de JavaScript para Symfony. Desde la versión 2.8.0 hasta las versiones 2.35.x, y en la rama 3.1.0, cuando una propiedad marcada con #[LiveProp] está tipada como DateTimeInterface y no se configura ningún formato explícito, Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue() recurre a new $className($value), lo que permite que cadenas relativas proporcionadas por el cliente, como "now", "tomorrow" o "+10 years", hagan que una propiedad de fecha escribible y sin formato supere las comprobaciones basadas en tiempo. Este problema se corrige en las versiones 2.36.0 y 3.1.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.