CVE-2026-49215 in Symfony
Riassunto
di VulDB • 17/07/2026
Symfony UX è un ecosistema JavaScript per Symfony. Dalle versioni 2.22.0 alla 2.35.x e fino alla 3.1.0, il metodo `Symfony\UX\LiveComponent\EventListener\LiveComponentSubscriber::isLiveComponentRequest()` limita le invocazioni di `[LiveAction]` in base all'intestazione Accept: application/vnd.live-component+html; tuttavia, l'intestazione Accept è inclusa nelle liste sicure CORS e una chiamata fetch() cross-origin può impostarla senza preflight, consentendo richieste #[LiveAction] forgiate da origini diverse contro la sessione della vittima quando le applicazioni utilizzano SameSite=None, credentials: 'include', una politica sui cookie permissiva o un pivot same-origin. Questo problema è stato risolto nelle versioni 2.36.0 e 3.1.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.