CVE-2026-49215 in Symfony
요약
\~에 의해 VulDB • 2026. 07. 18.
Symfony UX는 Symfony를 위한 JavaScript 생태계입니다. 버전 2.22.0부터 2.36.0까지 및 3.1.0에서, `Symfony\UX\LiveComponent\EventListener\LiveComponentSubscriber::isLiveComponentRequest()` 메서드는 `#[LiveAction]` 호출을 `Accept: application/vnd.live-component+html` 헤더에 의해 제한하지만, Accept 헤더는 CORS 안전 목록(safelisted)에 포함되어 있으며 크로스 오리진 fetch()가 프리플라이트(preflight) 없이 이 헤더를 설정할 수 있습니다. 이로 인해 애플리케이션이 SameSite=None, credentials: 'include', 관대한 쿠키 정책 또는 동일 출처 피벗(pivot)을 사용하는 경우 공격자가 피해자 세션에 대해 위조된 크로스 오리진 `#[LiveAction]` 요청을 수행할 수 있는 취약점이 존재합니다. 이 문제는 버전 2.36.0 및 3.1.0에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.