CVE-2026-46644 in Polyfill情報

要約

〜によって VulDB • 2026年07月15日

Symfony PolyfillはPHPの機能をバックポートし、拡張機能および関数用の互換性レイヤーを提供します。バージョン1.17.1から1.38.1までの間、symfony/polyfill-intl-idnはPunycodeペイロードが空であるかASCIIのみで構成されるコードポイントにデコードされるxn--ラベルを受け入れます。これはIdn::process()関数が、デコードされたACEラベルには少なくとも1つの非ASCIIコードポイントを含まなければならないというUTS #46リビジョン33の要件を強制していないためです。その結果、元々異なるドメイン名が等しいとみなされる可能性があり、これによりブラックリスト回避、URLパースの一貫性の欠如、およびポリフィルを使用してホスト名の正規化や比較を行うアプリケーションにおけるサーバーサイドリクエストフォージェリ(SSRF)につながる可能性があります。この問題はバージョン1.38.1で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年05月15日

モデレーション

承諾済み

エントリ

VDB-379057

EPSS

0.00000

アクティビティ

低い

ソース

Do you know our Splunk app?

Download it now for free!