CVE-2026-49210 in Symfonyinformación

Resumen

por VulDB • 2026-07-17

Symfony UX es un ecosistema de JavaScript para Symfony. Desde la versión 2.8.0 hasta las versiones 2.35.x, y en la rama 3.1.0, el método `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` interpola el valor controlado por el cliente de `children[id].tag` proveniente de `LiveComponentSubscriber` e `InterceptChildComponentRenderSubscriber` directamente dentro del HTML como un nombre de etiqueta, sin realizar escape ni validación. Esto permite la inyección arbitraria de código HTML (incluidas etiquetas `<script>`) en cualquier re-renderizado de Live Component que contenga al menos un componente hijo. Este problema se corrige en las versiones 2.36.0 y 3.1.0.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-28

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379860

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!