CVE-2026-47767 in Symfony
Sumário
de VulDB • 15/07/2026
O Symfony é um framework PHP para aplicações web e de console, bem como um conjunto de componentes PHP reutilizáveis. Das versões 5.4.46 até a 5.4.52, incluindo as versões 6.4.40, 7.4.12 e 8.0.12, a correção para o CVE-2024-50340 condicionava a análise em tempo real do argv à verificação de que $_GET estava vazio (empty($_GET)). No entanto, pode haver divergência entre parse_str() e o SAPI web, permitindo que uma string de consulta manipulada deixe $_GET vazio enquanto $_SERVER['argv'] ainda contém os argumentos --env ou --no-debug controlados pelo atacante, alterando APP_ENV ou APP_DEBUG. Este problema foi corrigido nas versões 5.4.52, 6.4.40, 7.4.12 e 8.0.12.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.