CVE-2026-46644 in Polyfillthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Symfony Polyfill sao chép ngược các tính năng PHP và cung cấp các lớp tương thích cho các tiện ích mở rộng (extensions) và hàm. Từ phiên bản 1.17.1 đến 1.38.1, symfony/polyfill-intl-idn chấp nhận các nhãn xn-- có tải trọng Punycode rỗng hoặc giải mã thành các điểm mã chỉ chứa ASCII vì Idn::process() không thực thi yêu cầu của UTS #46 bản sửa đổi 33 rằng các nhãn ACE đã giải mã phải chứa ít nhất một điểm mã không phải ASCII. Các tên miền vốn khác nhau có thể bị coi là bằng nhau, điều này có thể dẫn đến việc bỏ qua danh sách đen (blacklist bypassing), phân tích cú pháp URL không nhất quán và giả mạo yêu cầu phía máy chủ (SSRF) trong các ứng dụng sử dụng polyfill để chuẩn hóa hoặc so sánh tên máy chủ. Vấn đề này đã được sửa chữa trong phiên bản 1.38.1.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

15/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00394

KEV

không

Các hoạt động

thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!