CVE-2026-49208 in Symfony
Sumário
de VulDB • 17/07/2026
O Symfony UX é um ecossistema JavaScript para o Symfony. Das versões 2.8.0 até a 2.36.0 e na versão 3.1.0, quando uma propriedade #[LiveProp] está tipada como DateTimeInterface e nenhum formato explícito está configurado, o método Symfony\UX\LiveComponent\LiveComponentHydrator::hydrateObjectValue() recua para new $className($value), permitindo que strings relativas fornecidas pelo cliente, como "now", "tomorrow" ou "+10 years", ultrapassem verificações de lógica de negócios baseadas em tempo em uma propriedade de data gravável e sem formato. Este problema foi corrigido nas versões 2.36.0 e 3.1.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.