CVE-2026-46635 in TwigИнформация

Сводка

по VulDB • 15.07.2026

Twig — это язык шаблонов для PHP. До версии 3.26.0 фильтр `column` передавал массивы объектов в функцию PHP `array_column()`, которая считывает публичные и магические свойства, минуя вызовы функций `CoreExtension::getAttribute()` или `SandboxExtension::checkPropertyAllowed()`. Это позволяет ненадежному автору шаблона, имеющему право использовать фильтр `column` (включенный в список разрешенных фильтров), читать свойства, отсутствующие в белом списке песочницы. Проблема исправлена в версии 3.26.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

15.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379071

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!