CVE-2026-45753

Nome do Software Vulnerável e Versões Afetadas symfony/html-sanitizer versões anteriores a 6.4

Description O visitante UrlAttributeSanitizer não valida os esquemas de vários atributos com valor de URL porque eles estão ausentes da lista getSupportedAttributes(). Especificamente, o atributo action em <form>, o atributo formaction em <button> e <input type=image>, o atributo poster em <video> e o atributo cite em <blockquote>, <q>, <del> e <ins> não são processados para validação de esquema. Consequentemente, se uma configuração for deliberadamente permissiva — como o uso de allowElement() com um caractere curinga ou o preset allowStaticElements() — uma URI javascript: pode burlar a sanitização. Para os atributos action e formaction, a exploração requer que a vítima envie o formulário ou clique no botão.

Recommendations Atualize para a versão 6.4 ou posterior. Como medida paliativa temporária, evite usar o preset allowStaticElements() ou configurações permissivas que permitam os atributos action, formaction, cite ou poster até que a atualização seja aplicada.