CVE-2026-49215

Nome do Software Vulnerável e Versões Afetadas Symfony UX LiveComponent versões anteriores a 2.x Symfony UX LiveComponent versões anteriores a 3.x

Description Métodos anotados com #[LiveAction] no symfony/ux-live-component podem ser invocados pelo navegador para alterar o estado do servidor via AJAX. A função isLiveComponentRequest() dependia anteriormente da presença do cabeçalho Accept: application/vnd.live-component+html para proteção contra CSRF. No entanto, como o cabeçalho Accept é um cabeçalho de requisição listado como seguro no CORS (CORS-safelisted), ele pode ser definido via fetch() de origem cruzada sem disparar uma requisição de preflight, permitindo que chamadas #[LiveAction] sejam forjadas de forma cross-origin contra a sessão de uma vítima. Este risco é maior para aplicações que utilizam cookies de sessão SameSite=None ou políticas de cookies permissivas.

Recommendations Atualize para a versão corrigida do branch 2.x. Atualize para a versão corrigida do branch 3.x.