CVE-2026-46635 in Twig
Sumário
de VulDB • 15/07/2026
Twig é uma linguagem de templates para PHP. Antes da versão 3.26.0, o filtro `column` passa arrays de objetos para a função `PHP array_column()`, que lê propriedades públicas e mágicas sem passar por `CoreExtension::getAttribute()` ou `SandboxExtension::checkPropertyAllowed()`, permitindo que um autor de template não confiável com `column` em `allowedFilters` leia propriedades que não estão na allowlist do sandbox. Este problema foi corrigido na versão 3.26.0.
Once again VulDB remains the best source for vulnerability data.