Base de datos de vulnerabilidadesCVE-2026-45304

CVE-2026-45304:
PHP Análisis y mitigación de vulnerabilidades

Description

Symfony\Component\Yaml\Parser resolves YAML aliases (*anchor) during parsing. Aliases that reference collections (arrays, stdClass, TaggedValue-wrapped collections) can themselves point to other collections containing aliases, creating exponential expansion at resolution time. A small input can blow up into a multi-gigabyte structure and exhaust memory: the classic "Billion Laughs" denial-of-service against any parser exposed to untrusted YAML.

Resolution

The Parser now counts collection alias resolutions in a shared ParserState object, with a default limit of 128, following the SnakeYAML model. Scalar aliases remain unrestricted since they cannot drive exponential growth. The limit is configurable via a new $maxAliasesForCollections argument on Parser::__construct(), Yaml::parse() and Yaml::parseFile(). A new Yaml::PARSE_EXCEPTION_ON_ALIAS flag also rejects all aliases outright when parsing fully untrusted input. The patch for this issue is available here for branch 5.4.

Credits

Symfony would like to thank Pietro Tirenna (Shielder) for reporting the issue and Nicolas Grekas for fixing it.

Fuente: NVD

Visualización de instancias vulnerables

¿No eres cliente? Mira cómo Wiz mapea CVEs como este a rutas reales de ataque en la nube.

Ver demostración de 12 minutos

2.7

Puntuación

Publicado May 27, 2026

Severidad LOW

Puntuación CNA N/A

Tecnologías afectadas

PHP
Linux Debian

Tiene exploit público No

Tiene el exploit CISA KEV No

Fecha de lanzamiento de CISA KEV N/A

Fecha de vencimiento de CISA KEV N/A

Percentil de probabilidad de explotación (EPSS) N/A

Probabilidad de Explotación (EPSS) N/A

Paquetes y bibliotecas afectados

symfony
composer://symfony/symfony

Fuentes

NVD
Debian Security Tracker
- Debian 11, 12, 13 No hay soluciónAñadido en:May 21, 2026
- Debian 14 Tiene ArregloAñadido en:May 27, 2026
Echo
- Echo No hay soluciónAñadido en:May 21, 2026
GitHub Advisory Database
- Composer Severidad LOWTiene ArregloAñadido en:May 28, 2026
PHP Security Advisories Database
- Composer Tiene ArregloAñadido en:May 20, 2026
Ubuntu Security Tracker
- Ubuntu 18.04, 20.04, 22.04, 24.04, 25.10 Severidad MEDIUMNo hay soluciónAñadido en:May 21, 2026

Obtén una evaluación de riesgo CVE

Obtén una vista priorizada de los CVEs en tu nube, para que puedas centrarte en lo que es explotable, no solo en lo que está listado.

Solicitar evaluación

Relacionado PHP Vulnerabilidades:

CVE ID	Severidad	Puntuación	Tecnologías	Nombre del componente	Exploit de CISA KEV	Tiene arreglo	Fecha de publicación
CVE-2026-45704	HIGH	7.1	PHP	pimcore/pimcore	No	Sí	May 27, 2026
CVE-2026-45703	MEDIUM	6.4	PHP	pimcore/pimcore	No	Sí	May 27, 2026
CVE-2026-45305	LOW	2.7	PHP	composer://symfony/yaml	No	Sí	May 27, 2026
CVE-2026-45304	LOW	2.7	PHP	symfony	No	Sí	May 27, 2026
CVE-2026-45133	LOW	2.7	PHP	composer://symfony/symfony	No	Sí	May 27, 2026

Evaluación gratuita de vulnerabilidades

Compare su postura de seguridad en la nube

Evalúe sus prácticas de seguridad en la nube en 9 dominios de seguridad para comparar su nivel de riesgo e identificar brechas en sus defensas.

Solicitar evaluación

Recursos adicionales de Wiz

Obtén una demostración personalizada

¿Listo para ver a Wiz en acción?

"La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube."

David EstlickCISO

"Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube."

Adam FletcherJefe de Seguridad

"Sabemos que si Wiz identifica algo como crítico, en realidad lo es."

Greg PoniatowskiJefe de Gestión de Amenazas y Vulnerabilidades

Solicita una demo

CVE-2026-45304: PHP Análisis y mitigación de vulnerabilidades