Vulnerabilidad en Symfony UX (CVE-2025-47946)

Symfony UX es una iniciativa y un conjunto de librerías para integrar herramientas de JavaScript en aplicaciones. Antes de la versión 2.25.1, renderizar `{{ atributos }}` o usar cualquier método que devuelva una instancia de `ComponentAttributes` (por ejemplo, `only()`, `defaults()`, `without()`) genera valores de atributos directamente sin escapar. Si estos valores no son seguros (por ejemplo, contienen entrada del usuario), esto puede llevar a la inyección de atributos HTML y vulnerabilidades XSS. El problema se solucionó en la versión `2.25.1` de `symfony/ux-twig-component` Aquellos que usan `symfony/ux-live-component` también deben actualizarlo a `2.25.1` para beneficiarse de la corrección, ya que reutiliza la clase `ComponentAttributes` internamente. Como workaround, evite renderizar `{{ atributos }}` u objetos derivados directamente si puede contener valores no confiables. En su lugar, utilice `{{attributes.render('name') }}` para una salida segura de atributos individuales.