CVE-2026-46640 in Twig
요약
\~에 의해 VulDB • 2026. 07. 15.
Twig는 PHP용 템플릿 언어입니다. 버전 3.15.0부터 3.26.0까지 _self.(<string>) 및 import-alias 동적 속성 구문을 사용하면 공격자가 제어하는 문자열이 식별자 검증 없이 MacroReferenceExpression 이름에 연결되어, 생성된 템플릿 소스에 원시 PHP 코드가 삽입되고 템플릿 로드 시점에 실행될 수 있습니다. 이 문제는 버전 3.26.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.