目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-45754— Symfony Mailjet插件未验证密钥导致未授权事件注入

AI 预测 8.6 利用难度: 较易 EPSS 0.10% · P28

影响版本矩阵 8

厂商产品版本范围状态
symfonylox24-notifier>= 7.1.0-BETA1, < 7.4.12affected
>= 8.0.0-BETA1, < 8.0.12affected
symfonymailjet-mailer>= 6.4.0, < 6.4.40affected
>= 7.0.0-BETA1, < 7.4.12affected
>= 8.0.0-BETA1, < 8.0.12affected
symfonysymfony>= 6.4.0, < 6.4.40affected
>= 7.0.0-BETA1, < 7.4.12affected
>= 8.0.0-BETA1, < 8.0.12affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-45754 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Symfony: Mailjet Mailer Webhook Parser Never Verifies the Configured Secret — Unauthenticated Webhook Event Injection
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Symfony is a PHP framework for web and console applications and a set of reusable PHP components. Prior to 6.4.40, 7.4.12, and 8.0.12, the Mailjet mailer bridge and LOX24 notifier bridge webhook parsers received configured webhook secrets but did not verify them, allowing unauthenticated POST requests to inject forged Mailjet and LOX24 event payloads. This issue is fixed in versions 6.4.40, 7.4.12, and 8.0.12.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
认证机制不恰当
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
symfonysymfony >= 6.4.0, < 6.4.40 -
symfonylox24-notifier >= 7.1.0-BETA1, < 7.4.12 -
symfonymailjet-mailer >= 6.4.0, < 6.4.40 -

二、漏洞 CVE-2026-45754 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-45754 的情报信息

登录查看更多情报信息。

CVE-2026-45754 补丁与修复 (4)

CVE-2026-45754 厂商安全公告 (1)

CVE-2026-45754 厂商页面 (1)

同批安全公告 · symfony · 2026-07-14 · 共 30 条

CVE-2026-45070Symfony MIME参数名非Token字符导致邮件头注入漏洞
CVE-2026-46644symfony/polyfill-intl-idn 存在不安全等价漏洞
CVE-2026-48761Symfony HtmlSanitizer 未清理<object>等标签的URL属性漏洞
CVE-2026-48736Symfony NoPrivateNetworkHttpClient SSRF绕过漏洞
CVE-2026-48747Symfony Mailomat Webhook 解析器签名算法降级漏洞
CVE-2026-48760Symfony HtmlSanitizer URL解析器Unicode绕过的漏洞
CVE-2026-48489Symfony 防火墙绕过未认证访问受限路由漏洞
CVE-2026-48784Symfony URLGenerator段编码绕过导致URL偏离
CVE-2026-47212Symfony Twilio通知器Webhook验证缺失导致未授权事件注入漏洞
CVE-2026-45068Symfony 通过短横线前缀收件人地址发送邮箱参数注入漏洞
CVE-2026-45071Symfony DomCrawler XXE导致本地文件泄露漏洞
CVE-2026-47767Symfony Runtime CVE-2024-50340 补丁绕过漏洞
CVE-2026-45075Symfony GET请求绕过权限验证漏洞
CVE-2026-45304Symfony YAML解析器递归集合别名扩展导致指数级内存分配漏洞
CVE-2026-45063Symfony X509Authenticator身份伪造漏洞
CVE-2026-45756Symfony JsonPath匹配/搜索未限制正则表达式导致ReDoS
CVE-2026-45133Symfony Yaml解析器处理不可信输入时的加固
CVE-2026-45069Symfony OidcTokenHandler 接受缺失aud/iss/exp声明的JWT漏洞
CVE-2026-45753Symfony HtmlSanitizer 远程代码执行漏洞
CVE-2026-45072Symfony 文件摘录函数存储型XSS漏洞

显示前 20 条,共 30 条。 查看全部 &rarr; →

IV. Related Vulnerabilities

V. Comments for CVE-2026-45754

暂无评论


发表评论