B
今週中
PHP向けテンプレートエンジン「Twig」に、リモートコード実行(RCE)が可能な深刻な脆弱性(CVE-2026-46633)
📌 一言でいうと
PHP向けテンプレートエンジン「Twig」に、リモートコード実行(RCE)が可能な深刻な脆弱性(CVE-2026-46633)が発見されました。テンプレート名の処理における不備により、攻撃者が任意のPHPコードを注入し、キャッシュファイルの読み込み時に実行させることが可能です。CVSSv4.0のベーススコアは9.3(クリティカル)とされており、バージョン3.26.0未満が影響を受けます。
🔍該当判定
- 自社でPHPを用いてWebサイトやシステムを開発・運用している
- PHPのテンプレートエンジンとして「Twig」を導入している
- 利用しているTwigのバージョンが 3.26.0 より前のものである
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるバージョン(3.26.0未満)を利用している場合は、速やかに最新バージョンへアップデートすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Twig (CVE-2026-46633) 対応について
お疲れさまです。Twigの脆弱性に関する情報共有です。
■ 概要
PHP向けテンプレートエンジン「Twig」において、任意のPHPコードを実行される可能性があるRCE脆弱性が判明しました。CVSSv4.0スコアは9.3(Critical)と非常に高く、サンドボックス環境下でも影響を受ける可能性があります。
■ 影響範囲
- 対象製品: Twig
- 対象バージョン: 3.26.0 未満
■ 対応手順
1. 利用中のPHPアプリケーションにおけるTwigのバージョンを確認してください。
2. 3.26.0 未満である場合は、速やかに最新バージョンへアップデートを適用してください。
■ 参考情報
- GitHub: twigphp/Twig
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Twigの脆弱性に関する情報共有です。
■ 概要
PHP向けテンプレートエンジン「Twig」において、任意のPHPコードを実行される可能性があるRCE脆弱性が判明しました。CVSSv4.0スコアは9.3(Critical)と非常に高く、サンドボックス環境下でも影響を受ける可能性があります。
■ 影響範囲
- 対象製品: Twig
- 対象バージョン: 3.26.0 未満
■ 対応手順
1. 利用中のPHPアプリケーションにおけるTwigのバージョンを確認してください。
2. 3.26.0 未満である場合は、速やかに最新バージョンへアップデートを適用してください。
■ 参考情報
- GitHub: twigphp/Twig
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Twig RCE Vulnerability (CVE-2026-46633)
Dear Team,
We are sharing information regarding a critical vulnerability in the Twig template engine for PHP.
■ Overview
An RCE vulnerability (CVE-2026-46633) has been identified in Twig. It allows attackers to inject arbitrary PHP expressions into compiled cache files via template name processing. The CVSSv4.0 base score is 9.3 (Critical), and it affects even sandboxed templates.
■ Scope
- Product: Twig
- Affected Versions: Prior to 3.26.0
■ Remediation
1. Identify all PHP applications utilizing the Twig template engine.
2. Update Twig to version 3.26.0 or later immediately.
■ Reference
- GitHub: twigphp/Twig
Priority: High
Deadline: Immediate
Dear Team,
We are sharing information regarding a critical vulnerability in the Twig template engine for PHP.
■ Overview
An RCE vulnerability (CVE-2026-46633) has been identified in Twig. It allows attackers to inject arbitrary PHP expressions into compiled cache files via template name processing. The CVSSv4.0 base score is 9.3 (Critical), and it affects even sandboxed templates.
■ Scope
- Product: Twig
- Affected Versions: Prior to 3.26.0
■ Remediation
1. Identify all PHP applications utilizing the Twig template engine.
2. Update Twig to version 3.26.0 or later immediately.
■ Reference
- GitHub: twigphp/Twig
Priority: High
Deadline: Immediate