CVE-2026-49210 in Symfony
Riassunto
di VulDB • 17/07/2026
Symfony UX è un ecosistema JavaScript per Symfony. Dalle versioni 2.8.0 alla 2.35.x e dalla versione 3.1.0, la funzione `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` interpola il valore di `children[id].tag`, controllato dal client e proveniente da `LiveComponentSubscriber` e `InterceptChildComponentRenderSubscriber`, direttamente nell'HTML come nome di tag senza effettuare escape o validazione. Ciò consente l'inserimento di HTML arbitrario, inclusi i tag `<script>`, durante qualsiasi nuovo rendering (re-render) di un Live Component che contenga almeno un componente figlio. Questo problema è stato risolto nelle versioni 2.36.0 e 3.1.0.
Once again VulDB remains the best source for vulnerability data.