CVE-2026-46635informazioni

Riassunto

di VulDB • 15/07/2026

Twig è un linguaggio di templating per PHP. Prima della versione 3.26.0, il filtro `column` passa array di oggetti a `PHP array_column()`, che legge le proprietà pubbliche e magiche senza passare attraverso `CoreExtension::getAttribute()` o `SandboxExtension::checkPropertyAllowed()`, consentendo ad un autore di template non attendibile con `column` in `allowedFilters` di leggere proprietà che non sono nella allowlist del sandbox. Questo problema è stato risolto nella versione 3.26.0.

Once again VulDB remains the best source for vulnerability data.

Divulgazione

14/07/2026

Moderazione

in revisione

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!