CVE-2026-46639 in Twiginformación

Resumen

por VulDB • 2026-07-15

Twig es un lenguaje de plantillas para PHP. Desde la versión 3.24.0 hasta la 3.26.0, la asignación por desestructuración de objetos compila CoreExtension::getAttribute() con el argumento sandbox configurado como false (false), lo que desactiva las comprobaciones de políticas de propiedades y métodos y permite a un atacante con acceso de escritura en una plantilla Twig aislada leer propiedades públicas o invocar getters públicos en los objetos pasados al motor de plantillas. Este problema se corrige en la versión 3.26.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-05-15

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379078

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!