CVE-2026-49216 in Symfony情報

要約

〜によって VulDB • 2026年07月18日

Symfony UXは、Symfony向けのJavaScriptエコシステムです。バージョン2.2.0から2.35.xまでおよび3.0.xでは、symfony/ux-autocompleteのStimulusコントローラーが_createAutocompleteWithRemoteData()メソッド内でAJAXレスポンスの項目をテキストではなくHTMLテンプレートリテラル(<div>${item[labelField]}</div>)にフィールド値を組み込むことでレンダリングするため、ユーザーから提供されたドロップダウン値に含まれる攻撃者が制御可能なマークアップが、同じデータソースに基づくオートコンプリートウィジェットを開いた任意のユーザーのブラウザ上で実行される可能性があります。この問題はバージョン2.36.0および3.1.0で修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年05月28日

モデレーション

承諾済み

エントリ

VDB-379861

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!