PT-2026-43392 · Symfony · Polyfill-Intl-Idn

CVE-2026-46644

·

Publicado

2026-05-26

·

Atualizado

2026-07-14

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas symfony/polyfill-intl-idn versões anteriores a 1.x
Description A função Idn::process() não aplica o critério de validade definido na UTS #46 revisão 33 Seção 4 etapa 4.1.2. Especificamente, ela não verifica se um rótulo prefixado com xn-- contém pelo menos um ponto de código não-ASCII após a decodificação Punycode. Isso resulta na aceitação de rótulos com payloads Punycode vazios ou aqueles que são decodificados apenas para caracteres ASCII, os quais são normalmente rejeitados pela extensão nativa ext-intl do PHP com um erro IDNA ERROR INVALID ACE LABEL. Esta inconsistência na canonicalização e comparação de nomes de host pode levar a server-side request forgery, parsing de URL inconsistente e a evasão de listas negras.
Recommendations Atualize para a versão corrigida do branch 1.x. Como medida paliativa temporária, restrinja o uso da função Idn::process() para validar ou comparar nomes de host até que a atualização seja aplicada.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-46644
GHSA-2XF4-CG6J-VHGQ

Produtos afetados

Polyfill-Intl-Idn