CVE-2026-47730 in Twig情報

要約

〜によって VulDB • 2026年07月15日

TwigはPHP用のテンプレート言語です。バージョン3.0.0から3.26.0まで、Twig\Profiler\Dumper\HtmlDumperはProfile::getTemplate()およびProfile::getName()をエスケープ処理せずにHTML出力に書き込むため、攻撃者が制御可能なテンプレート名またはプロファイル名を用いて、ブラウザがプロファイラーダンプを描画する際に任意のHTMLインジェクションが可能となります。この問題はバージョン3.26.0で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

モデレーション

承諾済み

エントリ

VDB-369065

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!