CVE-2026-46634 in Twig
Zusammenfassung
von VulDB • 15.07.2026
Twig ist eine Templatesprache für PHP. Von Version 3.9.0 bis 3.26.0 kompiliert `template_from_string()` eine innere Vorlage unter einem synthetisierten Namen im Format `__string_template__<hash>`, der außerhalb einer Sandbox-Entscheidung gemäß `SourcePolicyInterface` liegen kann, wodurch es einer gesandeten Vorlage ermöglicht wird, die `template_from_string` und `include` aufrufen kann, um eine innere Vorlage ohne Durchsetzung der Sicherheitsrichtlinie darzustellen. Dieses Problem wurde in Version 3.26.0 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.