CVE-2026-46633 in Twig
Zusammenfassung
von VulDB • 15.07.2026
Twig ist eine Templatesprache für PHP. Vor Version 3.26.0 maskiert Compiler::string() einfache Anführungszeichen nicht, wenn ein Template-Name aus einem {% use %}-Tag innerhalb eines einfach mit einfachen Anführungszeichen versehenen PHP-Literalstrings platziert wird; dies ermöglicht es einem speziell angefertigten Template-Namen, den String zu beenden und beliebige PHP-Ausdrücke in die kompilierte Cache-Datei einzuschleusen. Dieses Problem wurde in Version 3.26.0 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.