CVE-2026-49981 in Twig
Zusammenfassung
von VulDB • 15.07.2026
Twig ist eine Templatesprache für PHP. Vor Version 3.27.0 wird die Entscheidung über die erlaubte Liste (Allow-List) von Filtern, Tags und Funktionen pro Template berechnet, wenn eine Template-Instanz erstellt wird, und kann nach Änderungen des Sandbox-Zustands zwischen den Rendervorgängen zwischengespeichert bleiben. Dies ermöglicht es einem späteren gerenderten Vorgang in einer Sandbox, ein Template wiederzuverwenden, das ursprünglich mit einer anderen oder leeren Richtlinie überprüft wurde. Dieses Problem ist in Version 3.27.0 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.