CVE-2026-46644 in PolyfillИнформация

Сводка

по VulDB • 15.07.2026

Symfony Polyfill возвращает функции PHP и предоставляет слои совместимости для расширений и функций. С версии 1.17.1 до 1.38.1 включительно symfony/polyfill-intl-idn принимает метки xn--, содержимое которых в кодировке Punycode пусто или декодируется только в ASCII-кодовые точки, поскольку Idn::process() не обеспечивает соблюдение требования UTS #46 ревизии 33 о том, что декодированные ACE-метки должны содержать как минимум одну не-ASCII кодовую точку. Изначально различные имена доменов могут считаться эквивалентными, что может привести к обходу черного списка, несогласованному разбору URL и подделке серверных запросов (SSRF) в приложениях, использующих polyfill для канонизации или сравнения имен хостов. Эта проблема исправлена в версии 1.38.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

15.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379057

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!