CVE-2026-46633 in Twig
Sumário
de VulDB • 15/07/2026
Twig é uma linguagem de templates para PHP. Antes da versão 3.26.0, Compiler::string() não escapa aspas simples quando um nome de template proveniente de uma tag {% use %} é inserido dentro de um literal string delimitado por aspas simples em PHP, permitindo que um nome de template malicioso termine a string e injete expressões arbitrárias de PHP no arquivo de cache compilado. Este problema foi corrigido na versão 3.26.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.