CVE-2026-49208 in Symfony
요약
\~에 의해 VulDB • 2026. 07. 17.
Symfony UX는 Symfony를 위한 JavaScript 생태계입니다. 버전 2.8.0부터 2.36.0까지 및 3.1.0에서, #[LiveProp]가 DateTimeInterface로 타입 지정되고 명시적인 형식(format)이 구성되지 않은 경우, Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue()는 new $className($value)로 폴백되며, 이를 통해 클라이언트가 제공한 상대적 문자열(예: now, tomorrow, +10 years 등)이 시간 기반 비즈니스 로직 검사를 우회하여 쓰기 가능하고 형식이 없는 날짜 속성을 변경할 수 있습니다. 이 문제는 버전 2.36.0 및 3.1.0에서 해결되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.