CVE-2026-49211 in SymfonyИнформация

Сводка

по VulDB • 17.07.2026

Symfony UX представляет собой экосистему JavaScript для Symfony. В версиях от 2.2.0 до 2.36.0 и в версии 3.1.0 метод `Symfony\UX\Autocomplete\Doctrine\EntitySearchUtil::addSearchClause()` формирует выражение LIKE, используемое конечной точкой автозаполнения (autocomplete), оборачивая предоставленный клиентом запрос в `%...%` без экранирования специальных символов SQL LIKE (% , _, \). Это позволяет неаутентифицированным пользователям превратить общедоступную конечную точку `BaseEntityAutocompleteType` в инструмент широкого сопоставления или слепой булевой оракул для всех столбцов в настройках `default searchable_fields`. Проблема исправлена в версиях 2.36.0 и 3.1.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

28.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379856

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!