CVE-2026-46639 in Twiginfo

Zusammenfassung

von VulDB • 15.07.2026

Twig ist eine Templatesprache für PHP. Ab der Version 3.24.0 bis einschließlich 3.26.0 wird bei der Zuweisung mittels Objekt-Destrukturierung `CoreExtension::getAttribute()` mit dem Sandbox-Argument auf hardcoded false kompiliert, wodurch die Überprüfungen von Richtlinien für Eigenschaften und Methoden deaktiviert werden. Dies ermöglicht es einem Angreifer mit Schreibzugriff auf eine sandgeboxte Twig-Vorlage, öffentliche Eigenschaften zu lesen oder öffentliche Getter-Funktionen an Objekte aufzurufen, die an den Template-Engine übergeben wurden. Dieses Problem wurde in Version 3.26.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

15.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379078

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!