Base de datos de vulnerabilidadesCVE-2026-45133

CVE-2026-45133:
PHP Análisis y mitigación de vulnerabilidades

Description

Symfony\Component\Yaml\Parser is the entry point for parsing YAML strings into PHP values via Yaml::parse(). When the parser is exposed to attacker-controlled input, deeply nested mappings or sequences cause both the block-level (Parser::parseBlock()) and inline (Inline::parseSequence() / Inline::parseMapping()) parsers to recurse without a depth limit. A crafted document exhausts the PHP stack and crashes the worker.

Resolution

The Parser now tracks recursion depth in a shared ParserState object across both block-level and inline parsing, with a default limit of 128. The limit is configurable via a new $maxNestingLevel argument on Parser::__construct(), Yaml::parse() and Yaml::parseFile(). The patch for this issue is available here for branch 5.4.

Credits

Symfony would like to thank Pietro Tirenna (Shielder) for reporting the issue and Nicolas Grekas for fixing it.

Fuente: NVD

Visualización de instancias vulnerables

¿No eres cliente? Mira cómo Wiz mapea CVEs como este a rutas reales de ataque en la nube.

Ver demostración de 12 minutos

2.7

Puntuación

Publicado May 27, 2026

Severidad LOW

Puntuación CNA N/A

Tecnologías afectadas

PHP
Linux Debian

Tiene exploit público No

Tiene el exploit CISA KEV No

Fecha de lanzamiento de CISA KEV N/A

Fecha de vencimiento de CISA KEV N/A

Percentil de probabilidad de explotación (EPSS) N/A

Probabilidad de Explotación (EPSS) N/A

Paquetes y bibliotecas afectados

composer://symfony/symfony
composer://symfony/yaml

Fuentes

NVD
Debian Security Tracker
- Debian 11, 12, 13 No hay soluciónAñadido en:May 21, 2026
- Debian 14 Tiene ArregloAñadido en:May 27, 2026
Echo
- Echo No hay soluciónAñadido en:May 21, 2026
GitHub Advisory Database
- Composer Severidad LOWTiene ArregloAñadido en:May 28, 2026
PHP Security Advisories Database
- Composer Tiene ArregloAñadido en:May 20, 2026
Ubuntu Security Tracker
- Ubuntu 18.04, 20.04, 22.04, 24.04, 25.10 Severidad MEDIUMNo hay soluciónAñadido en:May 21, 2026

Obtén una evaluación de riesgo CVE

Obtén una vista priorizada de los CVEs en tu nube, para que puedas centrarte en lo que es explotable, no solo en lo que está listado.

Solicitar evaluación

Relacionado PHP Vulnerabilidades:

CVE ID	Severidad	Puntuación	Tecnologías	Nombre del componente	Exploit de CISA KEV	Tiene arreglo	Fecha de publicación
CVE-2026-45704	HIGH	7.1	PHP	pimcore/pimcore	No	Sí	May 27, 2026
CVE-2026-45703	MEDIUM	6.4	PHP	pimcore/pimcore	No	Sí	May 27, 2026
CVE-2026-45305	LOW	2.7	PHP	composer://symfony/yaml	No	Sí	May 27, 2026
CVE-2026-45304	LOW	2.7	PHP	symfony	No	Sí	May 27, 2026
CVE-2026-45133	LOW	2.7	PHP	composer://symfony/symfony	No	Sí	May 27, 2026

Evaluación gratuita de vulnerabilidades

Compare su postura de seguridad en la nube

Evalúe sus prácticas de seguridad en la nube en 9 dominios de seguridad para comparar su nivel de riesgo e identificar brechas en sus defensas.

Solicitar evaluación

Recursos adicionales de Wiz

Obtén una demostración personalizada

¿Listo para ver a Wiz en acción?

"La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube."

David EstlickCISO

"Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube."

Adam FletcherJefe de Seguridad

"Sabemos que si Wiz identifica algo como crítico, en realidad lo es."

Greg PoniatowskiJefe de Gestión de Amenazas y Vulnerabilidades

Solicita una demo

CVE-2026-45133: PHP Análisis y mitigación de vulnerabilidades