CVE-2026-45305

Nome do Software Vulnerável e Versões Afetadas Symfony versões anteriores a 5.4.31

Description A função cleanup() em SymfonyComponentYamlParser contém expressões regulares com quantificadores sobrepostos, especificamente no padrão usado para remover o cabeçalho da diretiva %YAML. Isso leva ao backtracking catastrófico—um estado em que o mecanismo de regex leva um tempo exponencial para processar uma string—ao processar entradas especialmente manipuladas. Um cabeçalho de diretiva, comentário ou linha de marcador de documento excessivamente grande pode fazer com que o parser trave, resultando em uma negação de serviço.

Recommendations Atualize para a versão 5.4.31 ou posterior. Como medida paliativa temporária, restrinja a entrada fornecida à função cleanup() para evitar o processamento de cabeçalhos de diretiva ou comentários excessivamente grandes.