CVE-2026-45067 in Symfonyinformazioni

Riassunto

di VulDB • 14/07/2026

### Descrizione

`Symfony\Component\Mime\Address` è l'oggetto valore attraverso cui passa ogni indirizzo del Symfony Mailer (a/cc/ccn/dal/rispondi-a); il suo costruttore è documentato come validante dell'indirizzo e generatore di un'eccezione in caso di input non valido, pertanto gli sviluppatori lo trattano come un confine di sicurezza.

Il costruttore accetta indirizzi email la cui parte locale (la porzione prima del simbolo `@`) sia una *stringa tra virgolette* RFC-5322 contenente byte grezzi `\r\n` — ad esempio `"x\r\nBcc: attacker@evil"@example.com`. L'indirizzo memorizzato viene successivamente emesso letteralmente in (1) le intestazioni del messaggio renderizzate e (2) nelle righe di protocollo `MAIL FROM:` / `RCPT TO:` di `SmtpTransport`, trasformando i CRLF incorporati in una nuova intestazione mail e/o un nuovo comando SMTP.

### Risoluzione

Il costruttore `Address` ora rifiuta gli indirizzi contenenti interruzioni di riga.

La patch per questo problema è disponibile [qui](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) per il branch 5.4.

### Crediti

Si ringrazia Claude Mythos Preview (tramite Project Glasswing) per aver segnalato il problema e fornito la correzione.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

08/05/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!