CVE-2026-46633

Nome do Software Vulnerável e Versões Afetadas Twig (versões afetadas não especificadas)

Descrição A função Compiler::string() não escapa aspas simples ao gerar literais de string de aspas duplas do PHP. Em ModuleNode::compileConstructor(), os nomes de templates de uma tag {% use %} são processados via subcompile() e string(), e então colocados dentro de um literal de string de aspas simples do PHP. Um nome de template contendo uma aspa simples pode encerrar a string prematuramente, permitindo a injeção de expressões PHP arbitrárias no arquivo de cache compilado. Isso leva à execução remota de código dentro do processo PHP quando o arquivo de cache é carregado, ignorando completamente o sandbox do Twig, pois a SecurityPolicy permite a tag {% use %} independentemente da configuração de allowedTags.

Recomendações Atualize para a versão onde a função Compiler::string() escapa aspas simples para evitar que nomes de templates quebrem o contexto dos literais PHP circundantes.