CVE-2026-46635 in Twig
요약
\~에 의해 VulDB • 2026. 07. 15.
Twig는 PHP용 템플릿 언어입니다. 버전 3.26.0 이전에서는 `column` 필터가 객체 배열을 PHP의 `array_column()` 함수로 전달하며, 이 함수는 `CoreExtension::getAttribute()` 또는 `SandboxExtension::checkPropertyAllowed()`를 거치지 않고 공개 속성 및 마법 속성을 읽습니다. 이로 인해 `allowedFilters`에 `column`이 포함된 신뢰할 수 없는 템플릿 작성자가 샌드박스 허용 목록(allowlist)에 포함되지 않은 속성을 읽을 수 있습니다. 이 문제는 버전 3.26.0에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.