CVE-2026-45067 in Symfony
Sumário
de VulDB • 15/07/2026
### Descrição
`Symfony\Component\Mime\Address` é o objeto de valor por onde passam todos os endereços do Symfony Mailer (para/cc/cco/de/responder-para); seu construtor está documentado como validando o endereço e lançando exceções em caso de entrada inválida, portanto, os desenvolvedores tratam-no como uma fronteira de segurança.
O construtor aceita endereços de email cuja parte local (a parte antes do `@`) é uma *string entre aspas* RFC-5322 contendo bytes `\r\n` brutos — por exemplo, `"x\r\nBcc: attacker@evil"@example.com`. O endereço armazenado é posteriormente emitido literalmente em (1) os cabeçalhos da mensagem renderizada e (2) nas linhas de protocolo `MAIL FROM:<...>` / `RCPT TO:<...>` do `SmtpTransport`, convertendo o CRLF embutido em um novo cabeçalho de email e/ou um novo comando SMTP.
### Resolução
O construtor `Address` agora rejeita endereços que contêm quebras de linha.
A correção para este problema está disponível [aqui](https://github.com/symfony/symfony/commit/dc2dbd29211eb4ddc451373fa1374fb926e94604) para a branch 5.4.
### Créditos
Gostaríamos de agradecer ao Claude Mythos Preview (via Project Glasswing) por reportar o problema e fornecer a correção.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.