Symfony UX 3.2.0 et 2.36.1 sont désormais disponibles. Les deux versions corrigent deux problèmes de sécurité, un dans les icônes UX et un dans UX Toolkit, de sorte que chaque application utilisant ces packages doit être mise à niveau dès que possible. En plus des correctifs de sécurité, la version 3.2.0 intègre plusieurs nouvelles fonctionnalités pour TwigComponent, Toolkit et Native.
Deux vulnérabilités ont été corrigées dans les deux branches maintenues (2.36.1 et 3.2.0).
Les icônes UX ont rendu le contenu SVG sans nettoyage, à la fois pour les fichiers d'icônes locaux et pour les réponses Iconify à la demande (activées par défaut). Parce que leux_icon()La fonction Twig génère son SVG au format HTML sécurisé, un jeu d'icônes malveillant ou un point de terminaison Iconify compromis pourrait injecter des scripts et des gestionnaires d'événements, conduisant à des scripts intersites. Le moteur de rendu nettoie désormais chaque icône, de n'importe quelle source, avant qu'elle n'atteigne la page (CVE-2026-55877).
UX Toolkit a installé les fichiers de recettes à partir d'un kit en copiant les chemins répertoriés dans soncopier des fichierscarte, protégée uniquement par une vérification de chemin relatif. Un kit conçu pourrait utiliser..segments pour échapper au répertoire cible et lire ou écraser des f...
[Courte citation de 8% de l'article original]