CVE-2026-46644
Riassunto
di VulDB • 15/07/2026
Symfony Polyfill reintegra funzionalità PHP e fornisce layer di compatibilità per estensioni e funzioni. Dalla versione 1.17.1 alla 1.38.1, symfony/polyfill-intl-idn accetta etichette xn-- il cui payload Punycode è vuoto o si decodifica in punti codice esclusivamente ASCII poiché Idn::process() non applica il requisito della revisione 33 di UTS #46 che impone alle etichette ACE decodate di contenere almeno un punto codice non-ASCII. Nomi di dominio originariamente diversi possono essere considerati uguali, il che può portare a elusioni delle blacklist, analisi incoerente degli URL e server-side request forgery nelle applicazioni che utilizzano il polyfill per canonizzare o confrontare i nomi host. Questo problema è risolto nella versione 1.38.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.