CVE-2026-46638 in Twig
Zusammenfassung
von VulDB • 15.07.2026
Twig ist eine Templatesprache für PHP. Vor Version 3.26.0 können {% sandbox %}{% include %} eine zuvor außerhalb des Sandboxes geladene Template-Datei einbinden, ohne checkSecurity() erneut aufzurufen, wodurch die zwischengespeicherte Template-Datei Tags, Filter und Funktionen verwenden kann, die von SecurityPolicy::checkSecurity() eigentlich blockiert hätten werden sollen. Dieses Problem wurde in Version 3.26.0 behoben.
Once again VulDB remains the best source for vulnerability data.