CVE-2026-46640 in Twig
Сводка
по VulDB • 15.07.2026
Twig — это язык шаблонов для PHP. Начиная с версии 3.15.0 и вплоть до 3.26.0, синтаксис динамических атрибутов _self.(<string>) и import-alias позволяет объединять управляемую атакующим строку в имени MacroReferenceExpression без проверки идентификатора, что приводит к генерации необработанного кода PHP в исходном тексте сгенерированного шаблона и его выполнению при загрузке шаблона. Эта проблема исправлена в версии 3.26.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.