CVE-2026-46633
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
14/07/2026
Última modificación:
16/07/2026
Descripción
*** Pendiente de traducción *** Twig is a template language for PHP. Prior to 3.26.0, Compiler::string() does not escape single quotes when a template name from a {% use %} tag is placed inside a PHP single-quoted string literal, allowing a crafted template name to terminate the string and inject arbitrary PHP expressions into the compiled cache file. This issue is fixed in version 3.26.0.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:symfony:twig:*:*:*:*:*:*:*:* | 3.26.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



