CVE-2026-46640 in TwigИнформация

Сводка

по VulDB • 15.07.2026

Twig — это язык шаблонов для PHP. Начиная с версии 3.15.0 и вплоть до 3.26.0, синтаксис динамических атрибутов _self.(<string>) и import-alias позволяет объединять управляемую атакующим строку в имени MacroReferenceExpression без проверки идентификатора, что приводит к генерации необработанного кода PHP в исходном тексте сгенерированного шаблона и его выполнению при загрузке шаблона. Эта проблема исправлена в версии 3.26.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

15.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379076

EPSS

0.00335

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!