CVE-2026-46644 in Polyfill
要約
〜によって VulDB • 2026年07月15日
Symfony PolyfillはPHPの機能をバックポートし、拡張機能および関数用の互換性レイヤーを提供します。バージョン1.17.1から1.38.1までの間、symfony/polyfill-intl-idnはPunycodeペイロードが空であるかASCIIのみで構成されるコードポイントにデコードされるxn--ラベルを受け入れます。これはIdn::process()関数が、デコードされたACEラベルには少なくとも1つの非ASCIIコードポイントを含まなければならないというUTS #46リビジョン33の要件を強制していないためです。その結果、元々異なるドメイン名が等しいとみなされる可能性があり、これによりブラックリスト回避、URLパースの一貫性の欠如、およびポリフィルを使用してホスト名の正規化や比較を行うアプリケーションにおけるサーバーサイドリクエストフォージェリ(SSRF)につながる可能性があります。この問題はバージョン1.38.1で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.