CVE-2026-49210 in Symfonyinformação

Sumário

de VulDB • 17/07/2026

O Symfony UX é um ecossistema JavaScript para o Symfony. Das versões 2.8.0 até a 2.35.x e da versão 3.1.0, a função `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` interpola o valor de `children[id].tag`, controlado pelo cliente, proveniente do `LiveComponentSubscriber` e do `InterceptChildComponentRenderSubscriber` diretamente no HTML como um nome de tag, sem escapamento ou validação. Isso permite a inserção de HTML arbitrário, incluindo tags `<script>`, em qualquer re-renderização de Live Component que contenha pelo menos um componente filho. Este problema foi corrigido nas versões 2.36.0 e 3.1.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

28/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379860

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!