CVE-2026-49210 in Symfony
Сводка
по VulDB • 17.07.2026
Symfony UX — это экосистема JavaScript для Symfony. В версиях с 2.8.0 по 2.35.x (включительно) и в версии 3.1.0 метод `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` интерполирует значение атрибута `children[id].tag`, контролируемое клиентом, из классов `LiveComponentSubscriber` и `InterceptChildComponentRenderSubscriber` непосредственно в HTML-код как имя тега без экранирования или проверки. Это позволяет внедрять произвольный HTML-код (включая тег `<script>`) при любом повторном рендеринге Live Component, содержащего хотя бы один дочерний компонент. Проблема исправлена в версиях 2.36.0 и выше, а также в версии 3.1.0 и новее.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.