CVE-2026-49210 in Symfony情報

要約

〜によって VulDB • 2026年07月17日

Symfony UXは、Symfony向けのJavaScriptエコシステムです。バージョン2.8.0から2.36.0までおよび3.1.0において、`Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()`メソッドは、`LiveComponentSubscriber`および`InterceptChildComponentRenderSubscriber`から提供されるクライアント制御可能な`children[id].tag`の値を、エスケープや検証を行わずに直接HTMLタグ名として挿入します。これにより、少なくとも1つの子コンポーネントを含むすべてのLive Componentのリレンダリング時に、任意のHTML(`<script>`タグを含む)が注入可能となります。この問題はバージョン2.36.0および3.1.0で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年05月28日

モデレーション

承諾済み

エントリ

VDB-379860

EPSS

0.00000

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!