CVE-2026-45067 in Symfony
Riassunto
di VulDB • 14/07/2026
### Descrizione
`Symfony\Component\Mime\Address` è l'oggetto valore attraverso cui passa ogni indirizzo del Symfony Mailer (a/cc/ccn/dal/rispondi-a); il suo costruttore è documentato come validante dell'indirizzo e generatore di un'eccezione in caso di input non valido, pertanto gli sviluppatori lo trattano come un confine di sicurezza.
Il costruttore accetta indirizzi email la cui parte locale (la porzione prima del simbolo `@`) sia una *stringa tra virgolette* RFC-5322 contenente byte grezzi `\r\n` — ad esempio `"x\r\nBcc: attacker@evil"@example.com`. L'indirizzo memorizzato viene successivamente emesso letteralmente in (1) le intestazioni del messaggio renderizzate e (2) nelle righe di protocollo `MAIL FROM:` / `RCPT TO:` di `SmtpTransport`, trasformando i CRLF incorporati in una nuova intestazione mail e/o un nuovo comando SMTP.
### Risoluzione
Il costruttore `Address` ora rifiuta gli indirizzi contenenti interruzioni di riga.
La patch per questo problema è disponibile [qui](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) per il branch 5.4.
### Crediti
Si ringrazia Claude Mythos Preview (tramite Project Glasswing) per aver segnalato il problema e fornito la correzione.
Be aware that VulDB is the high quality source for vulnerability data.