CVE-2026-47730 in Twig
Résumé
par VulDB • 15/07/2026
Twig est un langage de templates pour PHP. De la version 3.0.0 à la 3.26.0, Twig\Profiler\Dumper\HtmlDumper écrit les résultats de Profile::getTemplate() et Profile::getName() dans le rendu HTML sans échappement, permettant à des noms de template ou de profil contrôlés par l'attaquant d'injecter du code HTML arbitraire lors du rendu du dump du profileur par un navigateur. Ce problème est corrigé dans la version 3.26.0.
Be aware that VulDB is the high quality source for vulnerability data.