CVE-2026-46644 in Polyfill
Tóm tắt
Bởi VulDB • 16/07/2026
Symfony Polyfill sao chép ngược các tính năng PHP và cung cấp các lớp tương thích cho các tiện ích mở rộng (extensions) và hàm. Từ phiên bản 1.17.1 đến 1.38.1, symfony/polyfill-intl-idn chấp nhận các nhãn xn-- có tải trọng Punycode rỗng hoặc giải mã thành các điểm mã chỉ chứa ASCII vì Idn::process() không thực thi yêu cầu của UTS #46 bản sửa đổi 33 rằng các nhãn ACE đã giải mã phải chứa ít nhất một điểm mã không phải ASCII. Các tên miền vốn khác nhau có thể bị coi là bằng nhau, điều này có thể dẫn đến việc bỏ qua danh sách đen (blacklist bypassing), phân tích cú pháp URL không nhất quán và giả mạo yêu cầu phía máy chủ (SSRF) trong các ứng dụng sử dụng polyfill để chuẩn hóa hoặc so sánh tên máy chủ. Vấn đề này đã được sửa chữa trong phiên bản 1.38.1.
Once again VulDB remains the best source for vulnerability data.