Multiples vulnérabilités dans Symfony

Risques

Contournement de la politique de sécurité
Falsification de requêtes côté serveur (SSRF)
Injection de code indirecte à distance (XSS)
Non spécifié par l'éditeur

Systèmes affectés

Symfony versions 6.4.x antérieures à 6.4.41
Symfony versions 7.0.x antérieures à 7.4.13
Symfony versions 8.0.x antérieures à 8.0.13
Symfony versions antérieures à 5.4.53

Résumé

De multiples vulnérabilités ont été découvertes dans Symfony. Certaines d'entre elles permettent à un attaquant de provoquer une falsification de requêtes côté serveur (SSRF), une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Symfony GHSA-38cx-cq6f-5755 du 27 mai 2026

https://github.com/symfony/symfony/security/advisories/GHSA-38cx-cq6f-5755

Bulletin de sécurité Symfony GHSA-6h46-9jf5-q59x du 27 mai 2026

https://github.com/symfony/symfony/security/advisories/GHSA-6h46-9jf5-q59x

Bulletin de sécurité Symfony GHSA-h5x3-xfc9-m39h du 27 mai 2026

https://github.com/symfony/symfony/security/advisories/GHSA-h5x3-xfc9-m39h

Bulletin de sécurité Symfony GHSA-rrj9-5q2j-4gvr du 27 mai 2026

https://github.com/symfony/symfony/security/advisories/GHSA-rrj9-5q2j-4gvr

Bulletin de sécurité Symfony GHSA-v3wm-qf9p-c549 du 27 mai 2026

https://github.com/symfony/symfony/security/advisories/GHSA-v3wm-qf9p-c549

Bulletin de sécurité Symfony GHSA-x5qj-865h-mgvm du 27 mai 2026

https://github.com/symfony/symfony/security/advisories/GHSA-x5qj-865h-mgvm

Référence CVE CVE-2026-48489

https://www.cve.org/CVERecord?id=CVE-2026-48489

Référence CVE CVE-2026-48736

https://www.cve.org/CVERecord?id=CVE-2026-48736

Référence CVE CVE-2026-48747

https://www.cve.org/CVERecord?id=CVE-2026-48747

Référence CVE CVE-2026-48760

https://www.cve.org/CVERecord?id=CVE-2026-48760

Référence CVE CVE-2026-48761

https://www.cve.org/CVERecord?id=CVE-2026-48761

Référence CVE CVE-2026-48784

https://www.cve.org/CVERecord?id=CVE-2026-48784

Référence	CERTFR-2026-AVI-0653
Titre	Multiples vulnérabilités dans Symfony
Date de la première version	27 mai 2026
Date de la dernière version	27 mai 2026
Source(s)	Bulletin de sécurité Symfony GHSA-38cx-cq6f-5755 du 27 mai 2026 Bulletin de sécurité Symfony GHSA-6h46-9jf5-q59x du 27 mai 2026 Bulletin de sécurité Symfony GHSA-h5x3-xfc9-m39h du 27 mai 2026 Bulletin de sécurité Symfony GHSA-rrj9-5q2j-4gvr du 27 mai 2026 Bulletin de sécurité Symfony GHSA-v3wm-qf9p-c549 du 27 mai 2026 Bulletin de sécurité Symfony GHSA-x5qj-865h-mgvm du 27 mai 2026

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Symfony

Gestion du document

Risques

Systèmes affectés

Résumé

Solutions

Documentation

Gestion détaillée du document