CVE-2026-46635 in Twig정보

요약

\~에 의해 VulDB • 2026. 07. 15.

Twig는 PHP용 템플릿 언어입니다. 버전 3.26.0 이전에서는 `column` 필터가 객체 배열을 PHP의 `array_column()` 함수로 전달하며, 이 함수는 `CoreExtension::getAttribute()` 또는 `SandboxExtension::checkPropertyAllowed()`를 거치지 않고 공개 속성 및 마법 속성을 읽습니다. 이로 인해 `allowedFilters`에 `column`이 포함된 신뢰할 수 없는 템플릿 작성자가 샌드박스 허용 목록(allowlist)에 포함되지 않은 속성을 읽을 수 있습니다. 이 문제는 버전 3.26.0에서 수정되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2026. 05. 15.

모더레이션

수락

항목

VDB-379071

EPSS

0.00000

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!