CVE-2026-45067 in Symfonyinformação

Sumário

de VulDB • 15/07/2026

### Descrição

`Symfony\Component\Mime\Address` é o objeto de valor por onde passam todos os endereços do Symfony Mailer (para/cc/cco/de/responder-para); seu construtor está documentado como validando o endereço e lançando exceções em caso de entrada inválida, portanto, os desenvolvedores tratam-no como uma fronteira de segurança.

O construtor aceita endereços de email cuja parte local (a parte antes do `@`) é uma *string entre aspas* RFC-5322 contendo bytes `\r\n` brutos — por exemplo, `"x\r\nBcc: attacker@evil"@example.com`. O endereço armazenado é posteriormente emitido literalmente em (1) os cabeçalhos da mensagem renderizada e (2) nas linhas de protocolo `MAIL FROM:<...>` / `RCPT TO:<...>` do `SmtpTransport`, convertendo o CRLF embutido em um novo cabeçalho de email e/ou um novo comando SMTP.

### Resolução

O construtor `Address` agora rejeita endereços que contêm quebras de linha.

A correção para este problema está disponível [aqui](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) para a branch 5.4.

### Créditos

Gostaríamos de agradecer ao Claude Mythos Preview (via Project Glasswing) por reportar o problema e fornecer a correção.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

08/05/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378591

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!