Sensio LabsのSymfonyにおけるDTD の再帰的なエンティティ参照の不適切な制限に関する脆弱性
タイトル Sensio LabsのSymfonyにおけるDTD の再帰的なエンティティ参照の不適切な制限に関する脆弱性
概要

Symfonyは、ウェブおよびコマンドラインアプリケーション向けのPHPフレームワークであり、再利用可能なPHPコンポーネントのセットです。5.4.52、6.4.40、7.4.12、および8.0.12より前のバージョンでは、Symfony\Component\Yaml\ParserがYAMLコレクションエイリアスを再帰的に解決していました。そのため、信頼できない小さなYAML入力がマルチギガバイト規模の構造へと展開され、メモリが枯渇する可能性がありました。この問題は、5.4.52、6.4.40、7.4.12、8.0.12の各バージョンで修正されています。

想定される影響 ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年7月14日0:00
登録日 2026年7月17日11:17
最終更新日 2026年7月17日11:17
CVSS3.0 : 重要
スコア 7.5
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
影響を受けるシステム
Sensio Labs
Symfony 5.4.52 未満
Symfony 6.0.0 以上 6.4.40 未満
Symfony 7.0.0 以上 7.4.12 未満
Symfony 8.0.0 以上 8.0.12 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年07月17日]
  掲載
2026年7月17日11:17

NVD脆弱性情報
CVE-2026-45304
概要

Symfony is a PHP framework for web and console applications and a set of reusable PHP components. Prior to 5.4.52, 6.4.40, 7.4.12, and 8.0.12, Symfony\Component\Yaml\Parser resolved YAML collection aliases recursively, allowing a small untrusted YAML input to expand into a multi-gigabyte structure and exhaust memory. This issue is fixed in versions 5.4.52, 6.4.40, 7.4.12, and 8.0.12.

公表日 2026年7月15日4:17
登録日 2026年7月16日4:22
最終更新日 2026年7月15日23:55
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* 5.4.52
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* 6.0.0 6.4.40
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* 7.0.0 7.4.12
cpe:2.3:a:sensiolabs:symfony:*:*:*:*:*:*:*:* 8.0.0 8.0.12
関連情報、対策とツール
共通脆弱性一覧