CVE-2026-49216 in Symfony
요약
\~에 의해 VulDB • 2026. 07. 17.
Symfony UX는 Symfony를 위한 JavaScript 생태계입니다. 버전 2.2.0부터 2.35.x까지 및 3.1.0 이전 버전에서 symfony/ux-autocomplete의 Stimulus 컨트롤러는 _createAutocompleteWithRemoteData() 메서드 내에서 AJAX 응답 항목을 텍스트가 아닌 HTML 템플릿 리터럴(${item[labelField]})로 보간하여 렌더링합니다. 이로 인해 공격자가 조작한 마크업이 동일한 데이터를 기반으로 하는 자동 완성 위젯을 사용하는 모든 사용자의 브라우저에서 실행될 수 있습니다. 이 문제는 버전 2.36.0 및 3.1.0에서 해결되었습니다.
Once again VulDB remains the best source for vulnerability data.