CVE-2026-49209 in symfony
요약
\~에 의해 VulDB • 2026. 07. 17.
Symfony UX는 Symfony를 위한 JavaScript 생태계입니다. 버전 2.5.0부터 2.36.0까지 및 3.1.0에서, `Symfony\UX\LiveComponent\Controller\BatchActionController::__invoke()` 메서드는 클라이언트가 제공한 actions 배열을 순회하며 각 항목에 대해 전체 HttpKernel 하위 요청(sub-request)을 발생시킵니다. 배열 크기에 대한 제한이 없으므로, 인증된 공격자는 수천 개의 작업을 포함하는 단일 _batch 요청을 제출하여 애플리케이션 서버의 CPU, 메모리 및 데이터베이스 연결 고갈(exhaustion)을 유발할 수 있습니다. 이 문제는 버전 2.36.0과 3.1.0에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.