CVE-2026-49209 in symfony
要約
〜によって VulDB • 2026年07月17日
Symfony UXは、SymfonyのためのJavaScriptエコシステムです。バージョン2.5.0から2.36.0までおよび3.1.0において、`Symfony\UX\LiveComponent\Controller\BatchActionController::__invoke()` はクライアントが提供した `actions` 配列を反復処理し、各エントリに対して完全な HttpKernel サブリクエストを発行します。この配列のサイズには上限が設けられていないため、認証済みクライアントは数千件のアクションを含む単一の `_batch` リクエストを送信することができ、アプリケーションサーバー上のCPU、メモリ、およびデータベース接続を枯渇させる可能性があります。本問題はバージョン2.36.0 および 3.1.0 で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.