CVE-2026-49210 in Symfonyinformation

Résumé

par VulDB • 17/07/2026

Symfony UX est un écosystème JavaScript pour Symfony. De la version 2.8.0 jusqu'à la 2.35.x, et à partir de la 3.1.0, la méthode `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` interpole directement dans le HTML, en tant que nom de balise, sans échappement ni validation, la valeur `children[id].tag` contrôlée par le client issue de `LiveComponentSubscriber` et `InterceptChildComponentRenderSubscriber`, permettant l'injection de code HTML arbitraire, y compris des balises `<script>`, lors du nouveau rendu (re-render) de tout composant Live contenant au moins un sous-composant. Ce problème est corrigé dans les versions 2.36.0 et 3.1.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Réserver

28/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379860

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Interested in the pricing of exploits?

See the underground prices here!