PT-2026-51053 · Symfony · Ux-Live-Component
Publicado
2026-06-19
·
Atualizado
2026-06-19
·
CVE-2026-49212
CVSS v4.0
2.3
Baixa
| Vetor | AV:N/AC:H/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
symfony/ux-live-component versões anteriores a 2.x e 3.x
Descrição
Existe um problema no
SymfonyUXLiveComponentLiveComponentHydrator onde o HMAC (Código de Autenticação de Mensagem baseado em Hash) usado para proteger props de apenas leitura e o blob propsFromParent cobria apenas pares de chave/valor de props ordenados. Como o HMAC não incluía o nome do componente, o identificador do slot ou o contexto da requisição, e utilizava um único segredo global da aplicação, blobs assinados poderiam ser replicados entre diferentes componentes ou slots se os nomes das chaves coincidissem. Isso permite que um invasor defina uma prop de apenas leitura em um componente alvo usando um valor que ele tinha permissão para definir como uma prop gravável em um componente diferente.Recomendações
Atualize para a versão mais recente do ramo 2.x.
Atualize para a versão mais recente do ramo 3.x.
Exploit
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ux-Live-Component