目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-45070— Symfony 输入验证错误漏洞

AI Predicted 7.5 Difficulty: Easy EPSS 0.45% · P36

Possible ATT&CK Techniques 1AI

T1559.001 · Component Object Model

Affected Version Matrix 8

ベンダープロダクトVersion Rangeステータス
symfonymime< 5.4.52affected
>= 6.0.0-BETA1, < 6.4.40affected
>= 7.0.0-BETA1, < 7.4.12affected
>= 8.0.0-BETA1, < 8.0.12affected
symfonysymfony< 5.4.52affected
>= 6.0.0-BETA1, < 6.4.40affected
>= 7.0.0-BETA1, < 7.4.12affected
>= 8.0.0-BETA1, < 8.0.12affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-45070の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Symfony: Email Header Injection via Non-Token Characters in Mime Parameter Names
ソース: NVD (National Vulnerability Database)
脆弱性説明
Symfony is a PHP framework for web and console applications and a set of reusable PHP components. Prior to 5.4.52, 6.4.40, 7.4.12, and 8.0.12, Symfony\Component\Mime\Header\ParameterizedHeader validates and encodes parameter values but emits parameter names verbatim, allowing a caller that derives a parameter name from untrusted input to include CRLF or other non-token bytes and inject additional headers into rendered structured mail headers such as Content-Type or Content-Disposition. This issue is reported as fixed in versions 5.4.52, 6.4.40, 7.4.12, and 8.0.12.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对CRLF序列的转义处理不恰当(CRLF注入)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Symfony 输入验证错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Symfony是Symfony组织开源的一个用于 Web 和控制台应用程序的 PHP 框架以及一组可重用的 PHP 组件。 Symfony存在输入验证错误漏洞,该漏洞源于ParameterizedHeader验证和编码参数值但逐字发出参数名称,导致从不可信输入派生参数名称的调用方可能包含CRLF或其他非令牌字节并向Content-Type或Content-Disposition等结构化邮件标头注入额外标头。以下版本受到影响:5.4.52之前版本、6.4.40之前版本、7.4.12之前版本和8.0.12之前
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
symfonysymfony < 5.4.52 -
symfonymime < 5.4.52 -

II. CVE-2026-45070の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-45070のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-45070 补丁与修复 (3)

CVE-2026-45070 厂商安全公告 (1)

CVE-2026-45070 厂商页面 (1)

CVE-2026-45070 其他参考 (1)

Same Patch Batch · symfony · 2026-07-14 · 30 CVEs total

CVE-2026-45133Symfony: [Yaml] Harden the parser when handling untrusted input
CVE-2026-46644symfony/polyfill-intl-idn accepts xn-- labels whose Punycode payload decodes to ASCII-only
CVE-2026-48761Symfony: HtmlSanitizer UrlAttributeSanitizer Misses URL Attributes on <object>, <applet>,
CVE-2026-48736Symfony: IpUtils::PRIVATE_SUBNETS Omits IPv6 Transition Forms (6to4, NAT64, Teredo, IPv4-c
CVE-2026-48747Symfony: Mailomat Mailer Webhook Parser Reads the HMAC Algorithm from the Request: Signatu
CVE-2026-48760Symfony: HtmlSanitizer URL Parser Deny Gates Underinclusive: Percent-Encoded BiDi Marks an
CVE-2026-48489Symfony: Security Firewall Bypass via failure_forward Subrequest: Unauthenticated Access t
CVE-2026-48784Symfony: UrlGenerator Dot-Segment Encoding Skips Every Other Chained `../` or `./` → Gener
CVE-2026-47212Symfony: Twilio Notifier Webhook Parser Never Verifies the X-Twilio-Signature HMAC: Unauth
CVE-2026-45068Symfony: Argument Injection in SendmailTransport via Dash-Prefixed Recipient Address
CVE-2026-45071Symfony: XXE (Local File Disclosure) in DomCrawler::addXmlContent() via validateOnParse =
CVE-2026-47767Symfony: SymfonyRuntime CVE-2024-50340 Patch Bypass: Web Requests Can Still Set APP_ENV/AP
CVE-2026-45075Symfony: HEAD Request Bypasses methods: ['GET'] Filter in #[IsGranted] / #[IsSignatureVali
CVE-2026-45304Symfony: YAML Parser Exponential Memory Allocation via Recursive Collection-Alias Expansio
CVE-2026-45063Symfony: Identity Spoofing via Unanchored DN Regex in X509Authenticator
CVE-2026-45756Symfony: JsonPath Evaluates Attacker-Controlled Regular Expressions in match()/search() Wi
CVE-2026-45754Symfony: Mailjet Mailer Webhook Parser Never Verifies the Configured Secret — Unauthentica
CVE-2026-45069Symfony: OidcTokenHandler Accepts JWTs Missing aud/iss/exp Claims
CVE-2026-45753Symfony: HtmlSanitizer UrlAttributeSanitizer Omits action/formaction/poster/cite — javascr
CVE-2026-45072Symfony: Stored XSS in WebProfiler CodeExtension::fileExcerpt() — Unescaped Non-PHP File R

Showing 20 of 30 CVEs. View all on vendor page →

IV. 関連脆弱性

V. CVE-2026-45070へのコメント

まだコメントはありません


コメントを残す