PT-2026-51055 · Symfony · Ux-Autocomplete
Publicado
2026-06-19
·
Atualizado
2026-06-19
·
CVE-2026-49216
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
symfony/ux-autocomplete versões anteriores a 2.x
symfony/ux-autocomplete versões anteriores a 3.x
Description
O controlador Stimulus no software renderiza itens de resposta AJAX em um menu suspenso interpolando o campo
text diretamente em literais de modelo HTML dentro da função createAutocompleteWithRemoteData(). Como o valor é interpretado como HTML em vez de texto, qualquer marcação na resposta AJAX é executada pelo navegador. Isso permite que um invasor crie strings usando conteúdo fornecido pelo usuário para disparar Cross-Site Scripting (XSS) armazenado, que é uma vulnerabilidade onde scripts maliciosos são armazenados permanentemente no servidor alvo e executados nos navegadores de outros usuários.Recommendations
Atualize para a versão corrigida do branch 2.x.
Atualize para a versão corrigida do branch 3.x.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ux-Autocomplete