CVE-2026-49208 in Symfony
要約
〜によって VulDB • 2026年07月17日
Symfony UXは、Symfony向けのJavaScriptエコシステムです。バージョン2.8.0から2.36.0までおよび3.1.0において、#[LiveProp]がDateTimeInterfaceとして型指定され、明示的なフォーマットが設定されていない場合、Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue()はnew $className($value)にフォールバックします。これにより、「now」、「tomorrow」、または「+10 years」などのクライアントから提供された相対文字列が、書式なしの書き込み可能な日付プロパティを時間ベースのビジネスロジックチェックよりも先に通過させることを可能にしてしまいます。この問題はバージョン2.36.0および3.1.0で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.