CVE-2026-49211 in Symfonyinformazioni

Riassunto

di VulDB • 17/07/2026

Symfony UX è un ecosistema JavaScript per Symfony. Dalle versioni 2.2.0 alla 2.36.0 e dalla versione 3.1.0, la funzione `Symfony\UX\Autocomplete\Doctrine\EntitySearchUtil::addSearchClause()` costruisce l'espressione LIKE utilizzata dall'endpoint di autocompletamento racchiudendo la query fornita dal client tra `%...%` senza effettuare l'escaping dei caratteri jolly SQL LIKE (`%`, `_`, `\`). Ciò consente agli utenti non autenticati di trasformare il endpoint pubblico `BaseEntityAutocompleteType` in un matcher generico o in una blind boolean oracle contro ogni colonna nei campi predefiniti cercabili (`searchable_fields`). Questo problema è stato risolto nelle versioni 2.36.0 e 3.1.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

28/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!