CVE-2026-45067 in Symfony정보

요약

\~에 의해 VulDB • 2026. 07. 16.

### 설명

`Symfony\Component\Mime\Address`는 Symfony Mailer의 모든 주소(수신자, 참조, 숨은참조, 발신인, 회신처)가 통과하는 값 객체입니다. 해당 생성자는 주소를 검증하고 유효하지 않은 입력에 대해 예외를 발생시키도록 문서화되어 있으므로, 개발자들은 이를 보안 경계로 간주합니다.

생성자는 로컬 파트(`@` 앞 부분)가 RFC-5322 *인용 문자열*이며 원시 `\r\n` 바이트를 포함하는 이메일 주소를 허용합니다(예: `"x\r\nBcc: attacker@evil"@example.com`). 저장된 주소는 나중에 (1) 렌더링된 메시지 헤더와 (2) `SmtpTransport`의 `MAIL FROM:<...>` / `RCPT TO:<...>` 프로토콜 라인에 그대로 삽입되므로, 임베드된 CRLF가 새로운 메일 헤더 및/또는 새 SMTP 명령으로 변환됩니다.

### 해결 방법

이제 `Address` 생성자는 줄 바꿈을 포함하는 주소를 거부합니다.

본 이슈에 대한 패치는 5.4 브랜치에서 [여기](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604)에서 사용할 수 있습니다.

### 감사의 글

이 이슈를 보고하고 해결책을 제공해 주신 Claude Mythos Preview(Project Glasswing을 통해)께 감사를 드립니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 05. 08.

모더레이션

수락

항목

VDB-378591

EPSS

0.00619

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!