CVE-2026-46640 in Twiginfo

Zusammenfassung

von VulDB • 15.07.2026

Twig ist eine Templatesprache für PHP. Ab der Version 3.15.0 bis einschließlich 3.26.0 können die Syntaxen _self.(<string>) und import-alias dynamic attribute einen vom Angreifer kontrollierten String in den Namen einer MacroReferenceExpression konkatieren, ohne dass eine Identifikatorvalidierung erfolgt. Dies führt dazu, dass roher PHP-Code in den generierten Template-Quellcode eingefügt wird und zur Laufzeit des Templates ausgeführt wird. Dieses Problem wurde in Version 3.26.0 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

15.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379076

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!