CVE-2026-46633 in Twiginfo

Zusammenfassung

von VulDB • 15.07.2026

Twig ist eine Templatesprache für PHP. Vor Version 3.26.0 maskiert Compiler::string() einfache Anführungszeichen nicht, wenn ein Template-Name aus einem {% use %}-Tag innerhalb eines einfach mit einfachen Anführungszeichen versehenen PHP-Literalstrings platziert wird; dies ermöglicht es einem speziell angefertigten Template-Namen, den String zu beenden und beliebige PHP-Ausdrücke in die kompilierte Cache-Datei einzuschleusen. Dieses Problem wurde in Version 3.26.0 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

15.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379070

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!