php · symfony/ux-autocompleteAtenção

symfony/ux-autocomplete: escape de texto em respostas AJAX para prevenir XSS

O controlador Stimulus agora escapa HTML no campo `text` de itens de resposta AJAX por padrão, evitando XSS armazenado.

20 Jun 2026Leitura 1 minSeveridade: agende este mês

O que mudou

O controlador Stimulus agora escapa HTML no campo `text` de itens de resposta AJAX por padrão, evitando XSS armazenado. Antes o valor era interpolado diretamente em template literals HTML sem escape. Endpoints que precisam retornar HTML podem optar com `options_as_html: true`.

Quem isso afeta

Usuários de symfony/ux-autocomplete que renderizam dropdowns de autocomplete com conteúdo fornecido pelo usuário, especialmente via dados remotos AJAX.

O que fazer hoje

Atualize para a versão corrigida (commit 842ae54bc74de389299f975f01aafae272cb0019 no branch 2.x, forward-portado para 3.x). Se você depende de retornar HTML nos itens de autocomplete, defina `options_as_html: true` no endpoint.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · symfony/ux-autocomplete

symfony/ux-autocomplete: escape de texto em respostas AJAX para prevenir XSS

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre symfony/ux-autocomplete

jleehr/canto-saas-api: Falha de codificação em buildRequestUrl permite path traversal

jleehr/canto-saas-api: OAuth2 token request agora usa POST body e mensagens de exceção sanitizadas