CVE-2026-45066 in Symfony
요약
\~에 의해 VulDB • 2026. 07. 14.
Symfony는 웹 및 콘솔 애플리케이션을 위한 PHP 프레임워크와 재사용 가능한 PHP 컴포넌트 모음입니다. 버전 6.1.0-BETA1부터 6.4.40, 7.4.12, 그리고 8.0.12까지 HtmlSanitizer의 URL 정제 기능은 allowLinkHosts() 또는 allowMediaHosts()를 통해 허용 목록(allowlist)에 없는 URLs을 통과시킬 수 있는 취약점이 있습니다. 이는 UrlSanitizer::parse()가 RFC 3986을 따르는 반면 브라우저는 WHATWG URL 파싱 규칙을 따르기 때문이며, <area href> 요소가 링크 정책이 아닌 미디어 정책에 따라 검사되기 때문입니다. 이 문제는 버전 6.4.40, 7.4.12 및 8.0.12에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.