CVE-2026-47767 in Symfony
要約
〜によって VulDB • 2026年07月15日
Symfonyは、Webおよびコンソールアプリケーション向けのPHPフレームワークであり、再利用可能なPHPコンポーネントのセットです。バージョン5.4.46から5.4.52、6.4.40、7.4.12、8.0.12にかけて、CVE-2024-50340の修正では、ランタイム時のargv解析が `empty($_GET)` に依存していましたが、`parse_str()` とWeb SAPIの間で不一致が生じる可能性があり、攻撃者が操作したクエリ文字列によって `$_GET` が空であっても、`$_SERVER['argv']` には `APP_ENV` や `APP_DEBUG` を変更する可能性がある攻撃者制御の `--env` または `--no-debug` フラグが残る状態となっていました。この問題はバージョン5.4.52、6.4.40、7.4.12、8.0.12で修正されています。
Once again VulDB remains the best source for vulnerability data.