CVE-2026-49216 in SymfonyИнформация

Сводка

по VulDB • 18.07.2026

Symfony UX — это экосистема JavaScript для Symfony. В версиях от 2.2.0 до 2.35.x и в версии 3.1.0 контроллер Stimulus в пакете symfony/ux-autocomplete отображает элементы ответа AJAX в функции _createAutocompleteWithRemoteData() путем интерполяции текстового поля в шаблонные литералы HTML (<div>${item[labelField]}</div>), а не как обычный текст, что позволяет вредоносной разметке, контролируемой злоумышленником и поступающей из пользовательских значений выпадающего списка, выполняться в браузере любого пользователя, открывающего виджет автозаполнения, использующий те же данные. Эта проблема исправлена в версиях 2.36.0 и 3.1.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

28.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379861

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!