PT-2026-51053 · Symfony · Ux-Live-Component

Publicado

2026-06-19

·

Atualizado

2026-06-19

·

CVE-2026-49212

CVSS v4.0

2.3

Baixa

VetorAV:N/AC:H/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas symfony/ux-live-component versões anteriores a 2.x e 3.x
Descrição Existe um problema no SymfonyUXLiveComponentLiveComponentHydrator onde o HMAC (Código de Autenticação de Mensagem baseado em Hash) usado para proteger props de apenas leitura e o blob propsFromParent cobria apenas pares de chave/valor de props ordenados. Como o HMAC não incluía o nome do componente, o identificador do slot ou o contexto da requisição, e utilizava um único segredo global da aplicação, blobs assinados poderiam ser replicados entre diferentes componentes ou slots se os nomes das chaves coincidissem. Isso permite que um invasor defina uma prop de apenas leitura em um componente alvo usando um valor que ele tinha permissão para definir como uma prop gravável em um componente diferente.
Recomendações Atualize para a versão mais recente do ramo 2.x. Atualize para a versão mais recente do ramo 3.x.

Exploit

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49212
GHSA-34W5-C283-J9FG

Produtos afetados

Ux-Live-Component