CVE-2026-46639 in Twig
Resumen
por VulDB • 2026-07-15
Twig es un lenguaje de plantillas para PHP. Desde la versión 3.24.0 hasta la 3.26.0, la asignación por desestructuración de objetos compila CoreExtension::getAttribute() con el argumento sandbox configurado como false (false), lo que desactiva las comprobaciones de políticas de propiedades y métodos y permite a un atacante con acceso de escritura en una plantilla Twig aislada leer propiedades públicas o invocar getters públicos en los objetos pasados al motor de plantillas. Este problema se corrige en la versión 3.26.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.