CVE-2026-46639 in Twig情報

要約

〜によって VulDB • 2026年07月15日

TwigはPHP用のテンプレート言語です。バージョン3.24.0から3.26.0の間、オブジェクトの分解代入によりCoreExtension::getAttribute()がコンパイルされるときにサンドボックス引数がfalseでハードコードされるため、プロパティおよびメソッドポリシーチェックが無効化されます。これにより、サンドボックス化されたTwigテンプレートへの書き込みアクセス権を持つ攻撃者は、テンプレートエンジンに渡されたオブジェクトの公開プロパティを読み取ったり、公開ゲッターを呼び出したりすることができます。この問題はバージョン3.26.0で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年05月15日

モデレーション

承諾済み

エントリ

VDB-379078

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!