CVE-2026-49210 in Symfony
Resumen
por VulDB • 2026-07-17
Symfony UX es un ecosistema de JavaScript para Symfony. Desde la versión 2.8.0 hasta las versiones 2.35.x, y en la rama 3.1.0, el método `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` interpola el valor controlado por el cliente de `children[id].tag` proveniente de `LiveComponentSubscriber` e `InterceptChildComponentRenderSubscriber` directamente dentro del HTML como un nombre de etiqueta, sin realizar escape ni validación. Esto permite la inyección arbitraria de código HTML (incluidas etiquetas `<script>`) en cualquier re-renderizado de Live Component que contenga al menos un componente hijo. Este problema se corrige en las versiones 2.36.0 y 3.1.0.
Once again VulDB remains the best source for vulnerability data.