CVE-2026-49208 in Symfony情報

要約

〜によって VulDB • 2026年07月17日

Symfony UXは、Symfony向けのJavaScriptエコシステムです。バージョン2.8.0から2.36.0までおよび3.1.0において、#[LiveProp]がDateTimeInterfaceとして型指定され、明示的なフォーマットが設定されていない場合、Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue()はnew $className($value)にフォールバックします。これにより、「now」、「tomorrow」、または「+10 years」などのクライアントから提供された相対文字列が、書式なしの書き込み可能な日付プロパティを時間ベースのビジネスロジックチェックよりも先に通過させることを可能にしてしまいます。この問題はバージョン2.36.0および3.1.0で修正されています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年05月28日

モデレーション

承諾済み

エントリ

VDB-379863

EPSS

0.00000

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!