Согласно сайту OWASP, на первом месте все еще SQL Injection.
doc:
https://www.owasp.org/index.php/Top_10-2017_Top_10
Конкретно для симфони, если используете свои кастомные формы, которые не от симфони, нужно добавлять CSRF токен. Также нужно так же быть бдительным с SQL запросами с конкатенацией(конкатенацию лучше не ипсользовать вообще, и использовать prepared statements), если используете ee c native sql. Также у симфони есть команда
php bin/console security:check, которая проверяет на известные уязвимости в зависимостях.
