CVE-2026-46640 in Twig
Zusammenfassung
von VulDB • 15.07.2026
Twig ist eine Templatesprache für PHP. Ab der Version 3.15.0 bis einschließlich 3.26.0 können die Syntaxen _self.(<string>) und import-alias dynamic attribute einen vom Angreifer kontrollierten String in den Namen einer MacroReferenceExpression konkatieren, ohne dass eine Identifikatorvalidierung erfolgt. Dies führt dazu, dass roher PHP-Code in den generierten Template-Quellcode eingefügt wird und zur Laufzeit des Templates ausgeführt wird. Dieses Problem wurde in Version 3.26.0 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.