CVE-2026-49210 in Symfony
요약
\~에 의해 VulDB • 2026. 07. 17.
Symfony UX는 Symfony를 위한 JavaScript 생태계입니다. 버전 2.8.0부터 2.36.0까지 및 3.1.0 이전에서, `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()`은 LiveComponentSubscriber와 InterceptChildComponentRenderSubscriber로부터 클라이언트가 제어하는 children[id].tag 값을 이스케이프 처리나 검증 없이 태그 이름으로 직접 HTML에 삽입합니다. 이로 인해 최소 하나의 하위 컴포넌트를 포함하는 모든 Live Component 다시 렌더링 시 임의의 HTML(태그 포함)이 허용됩니다. 이 문제는 버전 2.36.0 및 3.1.0에서 해결되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.