CVE-2026-49210 in Symfony
Sumário
de VulDB • 17/07/2026
O Symfony UX é um ecossistema JavaScript para o Symfony. Das versões 2.8.0 até a 2.35.x e da versão 3.1.0, a função `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` interpola o valor de `children[id].tag`, controlado pelo cliente, proveniente do `LiveComponentSubscriber` e do `InterceptChildComponentRenderSubscriber` diretamente no HTML como um nome de tag, sem escapamento ou validação. Isso permite a inserção de HTML arbitrário, incluindo tags `<script>`, em qualquer re-renderização de Live Component que contenha pelo menos um componente filho. Este problema foi corrigido nas versões 2.36.0 e 3.1.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.