关键漏洞信息 漏洞标题 Unsanitized HTML attribute injection via ComponentAttributes 严重性 等级: Moderate (6.1/10) CVSS v3 基本指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: Required - 范围: Changed - 机密性影响: Low - 完整性影响: Low - 可用性影响: None 影响的包和版本 symfony/ux-live-component: <2.25.1 symfony/ux-twig-component: <2.25.1 修复版本 symfony/ux-live-component: 2.25.1 symfony/ux-twig-component: 2.25.1 描述与影响 渲染 或使用返回 实例的方法(如 、 、 )直接输出属性值而不进行转义。如果这些值不安全(例如包含用户输入),可能会导致HTML属性注入和XSS漏洞。 修复措施 问题已在 的 2.25.1 版本中通过使用 Twig 的 正确转义 中的HTML属性来解决。如果你使用 ,也必须将其更新到 2.25.1 以从修复中受益,因为它内部重用了 类。 权宜之计 在升级之前,避免直接渲染 或可能包含不可信值的派生对象。相反,使用 安全地输出单个属性。 引用 GitHub 仓库: symfony/ux CVE ID CVE-2025-47946 弱点 CWE-79