CVE-2026-46640 in Twig情報

要約

〜によって VulDB • 2026年07月15日

TwigはPHP用のテンプレート言語です。バージョン3.15.0から3.26.0の間、_self()およびimport-aliasの動的属性構文により、識別子の検証を行わずに攻撃者が制御する文字列をMacroReferenceExpression名に連結でき、生成されたテンプレートのソースコード中に生(raw)のPHPが出力され、テンプレート読み込み時に実行されることになります。この問題はバージョン3.26.0で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年05月15日

モデレーション

承諾済み

エントリ

VDB-379076

EPSS

0.00000

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!