CVE-2026-49210 in SymfonyИнформация

Сводка

по VulDB • 17.07.2026

Symfony UX — это экосистема JavaScript для Symfony. В версиях с 2.8.0 по 2.35.x (включительно) и в версии 3.1.0 метод `Symfony\UX\LiveComponent\Util\ChildComponentPartialRenderer::createHtml()` интерполирует значение атрибута `children[id].tag`, контролируемое клиентом, из классов `LiveComponentSubscriber` и `InterceptChildComponentRenderSubscriber` непосредственно в HTML-код как имя тега без экранирования или проверки. Это позволяет внедрять произвольный HTML-код (включая тег `<script>`) при любом повторном рендеринге Live Component, содержащего хотя бы один дочерний компонент. Проблема исправлена в версиях 2.36.0 и выше, а также в версии 3.1.0 и новее.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

28.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379860

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!