php 2026
symfony/runtime: correção incompleta do CVE-2024-50340 permite manipulação de argv via query string
A correção original do CVE-2024-50340 no symfony/runtime era incompleta.
pheditor: Vulnerabilidade de Injeção de Comando no Terminal
Uma vulnerabilidade de Injeção de Comando no SO foi descoberta no manipulador de terminal do pheditor.
laravel/framework v13.12.0 lançado
Versão 13.12.0 do pacote laravel/framework publicada no Packagist.
laravel/framework v12.61.0 lançado
Lançamento da versão 12.61.0 do pacote laravel/framework no Packagist.
guzzlehttp/guzzle 7.10.5 lançado
Lançamento da versão 7.10.5 para guzzlehttp/guzzle.
symfony/http-foundation v8.1.0 lançado
Versão v8.1.0 de symfony/http-foundation foi lançada, fornecendo uma camada orientada a objetos para a especificação HTTP.
symfony/console v8.1.0: nova versão disponível
Nova versão do symfony/console v8.
guzzlehttp/guzzle 7.10.6 lançado
Versão 7.10.6 do guzzlehttp/guzzle foi lançada.
guzzlehttp/guzzle 7.11.0: nova versão disponível
Lançamento da versão 7.11.0 do guzzlehttp/guzzle.
laravel/framework v12.61.1 lançado
Versão 12.61.1 do pacote laravel/framework publicada no Packagist.
laravel/framework v13.14.0 lançado
Lançamento da versão 13.14.0 do pacote laravel/framework no Packagist.
phpunit/phpunit 13.2.0 lançado
Lançamento da versão 13.2.0 do PHPUnit, framework de teste unitário para PHP.
Laravel 13.14: JsonSchema::fromArray() e correções em filas, jobs, HTTP e mail
Adicionado JsonSchema::fromArray() para converter arrays de JSON Schema de volta em objetos Type.
shopware/platform: Escalação de privilégio via Sync API com privilégio integration:create
Um usuário não administrador da API com privilégio ACL integration:create pode escalar para administrador completo criando uma int
shopware/platform: user_recovery hash exposto via API de busca
O campo `hash` da entidade `user_recovery` é exposto pelo endpoint de busca da Admin API (`POST /api/search/user-recovery`), permi
shopware/platform: Escalação de privilégio via UserController::upsertUser()
UserController::upsertUser() grava dados de usuário em SYSTEM_SCOPE e não filtra o campo admin, permitindo que usuários da API com
shopware/platform: Vulnerabilidade de timing attack no repositório OAuth permite enumeração de administradores
Uma vulnerabilidade de timing attack foi descoberta no repositório de usuários OAuth que permite enumeração de nomes de usuário ad
shopware/platform: Admin API order state transition endpoints sem verificação ACL
Endpoints de transição de estado de pedido na Admin API estão sem verificação de privilégios ACL, permitindo que usuários com priv
shopware/platform: Falta de autorização no endpoint /store-api/handle-payment
O endpoint /store-api/handle-payment não possui autorização a nível de objeto, permitindo que um usuário com privilégios baixos ac
shopware/core: SVG não sanitizado permite XSS no gerenciador de mídia
Arquivos SVG são permitidos na lista de upload do gerenciador de mídia, mas não são sanitizados, possibilitando XSS armazenado via
shopware/core: endpoint /api/_action/media/external-link permite SSRF sem validação de IP
O endpoint `/api/_action/media/external-link` no core do Shopware permite que usuários admin autenticados façam requisições HTTP H
shopper/framework: Permissões ausentes em ações inline de tabelas administrativas
Tabelas administrativas de PaymentMethods, Currencies e Carriers expunham toggles e ações por registro sem verificação de permissã
twig/twig: HtmlDumper agora escapa nomes de template e perfil contra XSS
Twig\Profiler\Dumper\HtmlDumper agora escapa nomes de template e perfil com htmlspecialchars() antes de exibi-los em HTML.
Poweradmin v4.4.0 Vulnerável a Injeção de CSV e Exposição de Caminhos
A funcionalidade de exportação de logs do Poweradmin v4.
froxlor: Injeção de registros DNS via DomainZones.add
O endpoint DomainZones.add não sanitiza caracteres de nova linha no conteúdo de registros TXT, permitindo injeção de diretivas BIN
AVideo: AuthorizeNet processPayment sem validação permite crédito arbitrário na carteira
O endpoint `plugin/AuthorizeNet/processPayment.
wwbn/avideo: Stored XSS no sistema de mensagens WebSocket do SQLite
Vulnerabilidade de XSS armazenado no sistema de mensagens WebSocket do AVideo: o handler MessageSQLite.
AVideo YPTSocket plugin: XSS via page_title
Vulnerabilidade de XSS armazenado não autenticado via parâmetro `page_title` no plugin YPTSocket.
TinyMCE 6.8.x-7.0.x: XSS via SVG namespace bypass
TinyMCE 6.8.x through 7.0.x has an XSS vulnerability caused by improper SVG namespace scope handling in the sanitizer. Crafted nes
tinymce: vulnerabilidade de XSS armazenado via comentários mce:protected forjados
Vulnerabilidade de XSS armazenado via comentários mce:protected forjados permite que atacantes contornem a sanitização e injetem s
TinyMCE: Vulnerabilidade XSS Armazenado no Plugin de Mídia
Vulnerabilidade de XSS armazenado no plugin de mídia permite que atacantes injetem scripts maliciosos através de atributos data-mc
shopper/framework: vulnerabilidades críticas de segurança em componentes Livewire
Três defeitos de segurança em componentes Livewire do admin: IDOR via propriedades destravadas, exposição de dados sensíveis atrav
shopper/framework: correção de autorização em configurações de equipe
Duas falhas de autorização em configurações de equipe permitiam que qualquer usuário autenticado do painel assumisse o sistema RBA
twig/twig: correção de segurança na verificação de sandbox para callbacks em filtros
A restrição de sandbox para filtros que aceitam callbacks (sort, filter, map, reduce) nem sempre é aplicada ao usar uma SourcePoli
twig/twig: Bypass de segurança no sandbox via __toString()
O SandboxNodeVisitor envolvia apenas uma lista fixa de nós AST em CheckToStringNode, deixando várias construções que acionam __toS