目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-45064— Symfony HtmlSanitizer URL属性绕过BiDi字符导致链接欺骗漏洞

AI 预测 6.5 利用难度: 较易 EPSS 0.07% · P22

可能的 ATT&CK 技术 1AI

T1588.006 · Vulnerabilities

影响版本矩阵 6

厂商产品版本范围状态
symfonyhtml-sanitizer>= 6.1.0-BETA1, < 6.4.40affected
>= 7.0.0-BETA1, < 7.4.12affected
>= 8.0.0-BETA1, < 8.0.12affected
symfonysymfony>= 6.1.0-BETA1, < 6.4.40affected
>= 7.0.0-BETA1, < 7.4.12affected
>= 8.0.0-BETA1, < 8.0.12affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-45064 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Symfony: HtmlSanitizer URL Attributes Pass Through BiDi Override Characters → Visual href Spoofing
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Symfony is a PHP framework for web and console applications and a set of reusable PHP components. From 6.1.0-BETA1 until 6.4.40, 7.4.12, and 8.0.12, UrlSanitizer::parse() passes Unicode explicit-direction BiDi formatting characters through into sanitized href and src attributes, allowing sanitized content to display a link destination that visually differs from the actual destination and enabling phishing-style visual spoofing. This issue is fixed in versions 6.4.40, 7.4.12, and 8.0.12.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
关键信息的UI错误表达
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
symfonysymfony >= 6.1.0-BETA1, < 6.4.40 -
symfonyhtml-sanitizer >= 6.1.0-BETA1, < 6.4.40 -

二、漏洞 CVE-2026-45064 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-45064 的情报信息

登录查看更多情报信息。

CVE-2026-45064 补丁与修复 (3)

CVE-2026-45064 厂商安全公告 (1)

CVE-2026-45064 厂商页面 (1)

同批安全公告 · symfony · 2026-07-14 · 共 30 条

CVE-2026-45070Symfony MIME参数名非Token字符导致邮件头注入漏洞
CVE-2026-46644symfony/polyfill-intl-idn 存在不安全等价漏洞
CVE-2026-48761Symfony HtmlSanitizer 未清理<object>等标签的URL属性漏洞
CVE-2026-48736Symfony NoPrivateNetworkHttpClient SSRF绕过漏洞
CVE-2026-48747Symfony Mailomat Webhook 解析器签名算法降级漏洞
CVE-2026-48760Symfony HtmlSanitizer URL解析器Unicode绕过的漏洞
CVE-2026-48489Symfony 防火墙绕过未认证访问受限路由漏洞
CVE-2026-48784Symfony URLGenerator段编码绕过导致URL偏离
CVE-2026-47212Symfony Twilio通知器Webhook验证缺失导致未授权事件注入漏洞
CVE-2026-45068Symfony 通过短横线前缀收件人地址发送邮箱参数注入漏洞
CVE-2026-45071Symfony DomCrawler XXE导致本地文件泄露漏洞
CVE-2026-47767Symfony Runtime CVE-2024-50340 补丁绕过漏洞
CVE-2026-45075Symfony GET请求绕过权限验证漏洞
CVE-2026-45304Symfony YAML解析器递归集合别名扩展导致指数级内存分配漏洞
CVE-2026-45063Symfony X509Authenticator身份伪造漏洞
CVE-2026-45756Symfony JsonPath匹配/搜索未限制正则表达式导致ReDoS
CVE-2026-45133Symfony Yaml解析器处理不可信输入时的加固
CVE-2026-45754Symfony Mailjet插件未验证密钥导致未授权事件注入
CVE-2026-45069Symfony OidcTokenHandler 接受缺失aud/iss/exp声明的JWT漏洞
CVE-2026-45753Symfony HtmlSanitizer 远程代码执行漏洞

显示前 20 条,共 30 条。 查看全部 &rarr; →

IV. Related Vulnerabilities

V. Comments for CVE-2026-45064

暂无评论


发表评论