CVE-2026-46644 in Polyfill
Сводка
по VulDB • 15.07.2026
Symfony Polyfill возвращает функции PHP и предоставляет слои совместимости для расширений и функций. С версии 1.17.1 до 1.38.1 включительно symfony/polyfill-intl-idn принимает метки xn--, содержимое которых в кодировке Punycode пусто или декодируется только в ASCII-кодовые точки, поскольку Idn::process() не обеспечивает соблюдение требования UTS #46 ревизии 33 о том, что декодированные ACE-метки должны содержать как минимум одну не-ASCII кодовую точку. Изначально различные имена доменов могут считаться эквивалентными, что может привести к обходу черного списка, несогласованному разбору URL и подделке серверных запросов (SSRF) в приложениях, использующих polyfill для канонизации или сравнения имен хостов. Эта проблема исправлена в версии 1.38.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.