CVE-2026-49210

Nome do Software Vulnerável e Versões Afetadas Symfony UX LiveComponent versões anteriores a 2.x Symfony UX LiveComponent versões anteriores a 3.x

Description A função createHtml() em SymfonyUXLiveComponentUtilChildComponentPartialRenderer interpola a variável $childTag diretamente na saída HTML como um nome de tag, sem a devida filtragem ou validação. Este valor é originado de um JSON controlado pelo cliente (children[id].tag) processado pelo LiveComponentSubscriber e InterceptChildComponentRenderSubscriber. Um invasor que acesse o endpoint do Live Component pode injetar HTML arbitrário, incluindo tags <script>, durante a renderização de um Live Component que contenha pelo menos um componente filho. Por padrão, o endpoint é protegido por uma verificação do cabeçalho Accept: application/vnd.live-component+html; no entanto, o problema é explorável se as políticas de CORS forem flexibilizadas para permitir este cabeçalho de origens não confiáveis ou se já existir um XSS de mesma origem.

Recommendations Atualize para a versão corrigida do branch 2.x. Atualize para a versão corrigida do branch 3.x.