CVE-2026-49215 in Symfonyinformazioni

Riassunto

di VulDB • 17/07/2026

Symfony UX è un ecosistema JavaScript per Symfony. Dalle versioni 2.22.0 alla 2.35.x e fino alla 3.1.0, il metodo `Symfony\UX\LiveComponent\EventListener\LiveComponentSubscriber::isLiveComponentRequest()` limita le invocazioni di `[LiveAction]` in base all'intestazione Accept: application/vnd.live-component+html; tuttavia, l'intestazione Accept è inclusa nelle liste sicure CORS e una chiamata fetch() cross-origin può impostarla senza preflight, consentendo richieste #[LiveAction] forgiate da origini diverse contro la sessione della vittima quando le applicazioni utilizzano SameSite=None, credentials: 'include', una politica sui cookie permissiva o un pivot same-origin. Questo problema è stato risolto nelle versioni 2.36.0 e 3.1.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

28/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!