CVE-2026-45304

Nome do Software Vulnerável e Versões Afetadas Symfony versões anteriores a 5.4

Descrição O SymfonyComponentYamlParser resolve aliases YAML durante a análise. Aliases que referenciam coleções, como arrays, stdClass ou coleções envolvidas em TaggedValue, podem apontar para outras coleções contendo aliases. Isso cria uma expansão exponencial durante a resolução, permitindo que uma entrada pequena se transforme em uma estrutura de vários gigabytes e esgote a memória. Trata-se de um ataque de negação de serviço do tipo Billion Laughs, no qual um analisador é sobrecarregado por expansão recursiva de entidades.

Recomendações Atualize para a versão corrigida do branch 5.4. Como mitigação temporária, utilize a flag Yaml::PARSE EXCEPTION ON ALIAS para rejeitar todos os aliases ao analisar entradas não confiáveis. Restrinja o número de resoluções de aliases de coleção configurando o argumento $maxAliasesForCollections em Parser:: construct(), Yaml::parse() ou Yaml::parseFile().