PT-2026-43392 · Symfony · Polyfill-Intl-Idn
CVE-2026-46644
·
Publicado
2026-05-26
·
Atualizado
2026-07-14
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
symfony/polyfill-intl-idn versões anteriores a 1.x
Description
A função
Idn::process() não aplica o critério de validade definido na UTS #46 revisão 33 Seção 4 etapa 4.1.2. Especificamente, ela não verifica se um rótulo prefixado com xn-- contém pelo menos um ponto de código não-ASCII após a decodificação Punycode. Isso resulta na aceitação de rótulos com payloads Punycode vazios ou aqueles que são decodificados apenas para caracteres ASCII, os quais são normalmente rejeitados pela extensão nativa ext-intl do PHP com um erro IDNA ERROR INVALID ACE LABEL. Esta inconsistência na canonicalização e comparação de nomes de host pode levar a server-side request forgery, parsing de URL inconsistente e a evasão de listas negras.Recommendations
Atualize para a versão corrigida do branch 1.x.
Como medida paliativa temporária, restrinja o uso da função
Idn::process() para validar ou comparar nomes de host até que a atualização seja aplicada.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Polyfill-Intl-Idn