Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- symfony/html-sanitizer versions antérieures à 6.4.40 pour composer
- symfony/html-sanitizer versions antérieures à 7.4.12 pour composer
- symfony/html-sanitizer versions antérieures à 8.0.12 pour composer
- symfony/json-path versions antérieures à 7.4.12 pour composer
- symfony/json-path versions antérieures à 8.0.12 pour composer
- symfony/lox24-notifier versions antérieures à 7.4.12 pour composer
- symfony/lox24-notifier versions antérieures à 8.0.12 pour composer
- symfony/mailjet-mailer versions antérieures à 6.4.40 pour composer
- symfony/mailjet-mailer versions antérieures à 7.4.12 pour composer
- symfony/mailjet-mailer versions antérieures à 8.0.12 pour composer
- symfony/mailtrap-mailer versions antérieures à 7.4.12 pour composer
- symfony/mailtrap-mailer versions antérieures à 8.0.12 pour composer
- symfony/mime versions <5.4.x antérieures à 5.4.52 pour composer
- symfony/mime versions antérieures à 6.4.40 pour composer
- symfony/mime versions antérieures à 7.4.12 pour composer
- symfony/mime versions antérieures à 8.0.12 pour composer
- symfony/monolog-bridge versions <5.4.x antérieures à 5.4.52 pour composer
- symfony/monolog-bridge versions antérieures à 6.4.40 pour composer
- symfony/monolog-bridge versions antérieures à 7.4.12 pour composer
- symfony/monolog-bridge versions antérieures à 8.0.12 pour composer
- symfony/runtime versions antérieures à 5.4.52 pour composer
- symfony/runtime versions antérieures à 6.4.40 pour composer
- symfony/runtime versions antérieures à 7.4.12 pour composer
- symfony/runtime versions antérieures à 8.0.12 pour composer
- symfony/symfony versions <5.4.x antérieures à 5.4.52 pour composer
- symfony/symfony versions antérieures à 5.4.52 pour composer
- symfony/symfony versions antérieures à 6.4.40 pour composer
- symfony/symfony versions antérieures à 7.4.12 pour composer
- symfony/symfony versions antérieures à 8.0.12 pour composer
- symfony/twilio-notifier versions antérieures à 6.4.40 pour composer
- symfony/twilio-notifier versions antérieures à 7.4.12 pour composer
- symfony/twilio-notifier versions antérieures à 8.0.12 pour composer
- symfony/yaml versions <5.4.x antérieures à 5.4.52 pour composer
- symfony/yaml versions antérieures à 6.4.40 pour composer
- symfony/yaml versions antérieures à 7.4.12 pour composer
- symfony/yaml versions antérieures à 8.0.12 pour composer
Résumé
De multiples vulnérabilités ont été découvertes dans Symfony. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une injection de code indirecte à distance (XSS) et une injection de requêtes illégitimes par rebond (CSRF).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Symfony GHSA-4qpc-3hr4-r2p4 du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-4qpc-3hr4-r2p4
- Bulletin de sécurité Symfony GHSA-55rj-x2vc-4whq du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-55rj-x2vc-4whq
- Bulletin de sécurité Symfony GHSA-59f3-vp2f-mp9w du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-59f3-vp2f-mp9w
- Bulletin de sécurité Symfony GHSA-64hg-93w9-fc35 du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-64hg-93w9-fc35
- Bulletin de sécurité Symfony GHSA-8v8v-g73j-492j du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-8v8v-g73j-492j
- Bulletin de sécurité Symfony GHSA-9frc-8383-795m du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-9frc-8383-795m
- Bulletin de sécurité Symfony GHSA-fqc7-9xjw-jrh3 du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-fqc7-9xjw-jrh3
- Bulletin de sécurité Symfony GHSA-hhg7-c65m-h7ff du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-hhg7-c65m-h7ff
- Bulletin de sécurité Symfony GHSA-m7v2-7gxm-vc2v du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-m7v2-7gxm-vc2v
- Bulletin de sécurité Symfony GHSA-vqc8-7275-q272 du 20 mai 2026 https://github.com/symfony/symfony/security/advisories/GHSA-vqc8-7275-q272
- Référence CVE CVE-2026-45070 https://www.cve.org/CVERecord?id=CVE-2026-45070
- Référence CVE CVE-2026-45077 https://www.cve.org/CVERecord?id=CVE-2026-45077
- Référence CVE CVE-2026-45304 https://www.cve.org/CVERecord?id=CVE-2026-45304
- Référence CVE CVE-2026-45305 https://www.cve.org/CVERecord?id=CVE-2026-45305
- Référence CVE CVE-2026-45753 https://www.cve.org/CVERecord?id=CVE-2026-45753
- Référence CVE CVE-2026-45754 https://www.cve.org/CVERecord?id=CVE-2026-45754
- Référence CVE CVE-2026-45755 https://www.cve.org/CVERecord?id=CVE-2026-45755
- Référence CVE CVE-2026-45756 https://www.cve.org/CVERecord?id=CVE-2026-45756
- Référence CVE CVE-2026-46626 https://www.cve.org/CVERecord?id=CVE-2026-46626
- Référence CVE CVE-2026-47212 https://www.cve.org/CVERecord?id=CVE-2026-47212
