CVE-2026-49216 in Symfonyinformación

Resumen

por VulDB • 2026-07-17

Symfony UX es un ecosistema de JavaScript para Symfony. Desde la versión 2.2.0 hasta la 2.36.0 y en la 3.1.0, el controlador Stimulus en symfony/ux-autocomplete renderiza los elementos de respuesta AJAX en _createAutocompleteWithRemoteData() interpolando el campo de texto como literales de plantilla HTML (${item[labelField]}) en lugar de como texto plano, lo que permite que la marca controlada por un atacante procedente de valores desplegables proporcionados por el usuario se ejecute en el navegador de cualquier usuario que abra un widget autocompletado respaldado por los mismos datos. Este problema está corregido en las versiones 2.36.0 y 3.1.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-05-28

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379861

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!