CVE-2026-45067 in Symfony
요약
\~에 의해 VulDB • 2026. 07. 16.
### 설명
`Symfony\Component\Mime\Address`는 Symfony Mailer의 모든 주소(수신자, 참조, 숨은참조, 발신인, 회신처)가 통과하는 값 객체입니다. 해당 생성자는 주소를 검증하고 유효하지 않은 입력에 대해 예외를 발생시키도록 문서화되어 있으므로, 개발자들은 이를 보안 경계로 간주합니다.
생성자는 로컬 파트(`@` 앞 부분)가 RFC-5322 *인용 문자열*이며 원시 `\r\n` 바이트를 포함하는 이메일 주소를 허용합니다(예: `"x\r\nBcc: attacker@evil"@example.com`). 저장된 주소는 나중에 (1) 렌더링된 메시지 헤더와 (2) `SmtpTransport`의 `MAIL FROM:<...>` / `RCPT TO:<...>` 프로토콜 라인에 그대로 삽입되므로, 임베드된 CRLF가 새로운 메일 헤더 및/또는 새 SMTP 명령으로 변환됩니다.
### 해결 방법
이제 `Address` 생성자는 줄 바꿈을 포함하는 주소를 거부합니다.
본 이슈에 대한 패치는 5.4 브랜치에서 [여기](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604)에서 사용할 수 있습니다.
### 감사의 글
이 이슈를 보고하고 해결책을 제공해 주신 Claude Mythos Preview(Project Glasswing을 통해)께 감사를 드립니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.