CVE-2026-49216 in Symfony
Resumen
por VulDB • 2026-07-17
Symfony UX es un ecosistema de JavaScript para Symfony. Desde la versión 2.2.0 hasta la 2.36.0 y en la 3.1.0, el controlador Stimulus en symfony/ux-autocomplete renderiza los elementos de respuesta AJAX en _createAutocompleteWithRemoteData() interpolando el campo de texto como literales de plantilla HTML (${item[labelField]}) en lugar de como texto plano, lo que permite que la marca controlada por un atacante procedente de valores desplegables proporcionados por el usuario se ejecute en el navegador de cualquier usuario que abra un widget autocompletado respaldado por los mismos datos. Este problema está corregido en las versiones 2.36.0 y 3.1.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.