CVE-2026-46634 in Twig
요약
\~에 의해 VulDB • 2026. 07. 15.
Twig는 PHP용 템플릿 언어입니다. 버전 3.9.0부터 3.26.0까지 `template_from_string()`은 합성된 `__string_template__<hash>` 이름으로 내부 템플릿을 컴파일하며, 이는 SourcePolicyInterface 샌드박스 결정 범위를 벗어날 수 있습니다. 그 결과, 보안 정책 강제 적용 없이 내부 템플릿을 렌더링하기 위해 `template_from_string` 및 `include`를 호출할 수 있는 샌드박싱된 템플릿이 허용됩니다. 이 문제는 버전 3.26.0에서 해결되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.