CVE-2026-46634

Nome do Software Vulnerável e Versões Afetadas Twig versões anteriores a 3.26.0

Descrição Quando um sandbox é habilitado seletivamente via SourcePolicyInterface em vez de globalmente, um template em sandbox com permissão para usar template from string e include pode renderizar um template interno arbitrário sem a aplicação de políticas de segurança. Isso ocorre porque Environment::createTemplate() compila a string interna sob um nome sintetizado ( string template <hash>), fazendo com que um SourcePolicy baseado em nome ou caminho retorne false, tornando a função checkSecurity() do template interno ineficaz. Um invasor pode então utilizar qualquer tag, filtro ou função, como constant() para ler segredos ou |map("system") para executar comandos de shell.

Recomendações Atualize para a versão 3.26.0 ou posterior. Não permita template from string na lista de funções permitidas da SecurityPolicy ao usar SourcePolicyInterface. Como medida de mitigação, evite registrar o StringLoaderExtension quando um sandbox estiver em uso.