Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-45066

Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/07/2026
Última modificación:
16/07/2026

Descripción

*** Pendiente de traducción *** Symfony is a PHP framework for web and console applications and a set of reusable PHP components. From 6.1.0-BETA1 until 6.4.40, 7.4.12, and 8.0.12, HtmlSanitizer URL sanitization can allow off-allowlist URLs through allowLinkHosts() or allowMediaHosts() because UrlSanitizer::parse() follows RFC 3986 while browsers follow WHATWG URL parsing, and because is checked against the media policy rather than the link policy. This issue is fixed in versions 6.4.40, 7.4.12, and 8.0.12.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* 6.1.0 (incluyendo) 6.4.40 (excluyendo)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* 7.0.0 (incluyendo) 7.4.12 (excluyendo)
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* 8.0.0 (incluyendo) 8.0.12 (excluyendo)