الثغرات ›

CVE-2026-24425

مرتفع

CWE-693 — نوع الضعف

                    نُشر: May 20, 2026                      ·  آخر تحديث: May 27, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Twig versions 2.16.x and 3.9.0 through 3.25.x contain a sandbox bypass vulnerability when using a SourcePolicyInterface that allows attackers with template rendering capabilities to pass arbitrary PHP callables to sort, filter, map, and reduce filters. Attackers can exploit the runtime check that fails to use the current template source to bypass sandbox restrictions and execute arbitrary code when the sandbox is enabled through a source policy rather than globally.

🤖 ملخص AI

Twig template engine versions 2.16.x and 3.9.0-3.25.x contain a sandbox bypass vulnerability allowing attackers to execute arbitrary PHP code through template filters when using SourcePolicyInterface. Organizations using Twig for template rendering with sandbox protection are at risk of code execution attacks.

📄 الوصف (العربية)

تحتوي نسخ محرك قوالب Twig على ثغرة تسمح للمهاجمين بتجاوز قيود الحماية الرملية عند استخدام واجهة سياسة المصدر. يمكن للمهاجمين الذين لديهم إمكانية عرض القوالب تمرير دوال PHP عشوائية إلى مرشحات الفرز والتصفية والخريطة والتقليل. الفحص في وقت التشغيل يفشل في استخدام مصدر القالب الحالي مما يسمح بتنفيذ أكواد عشوائية.

🤖 ملخص تنفيذي (AI)

محرك قوالب Twig الإصدارات 2.16.x و3.9.0-3.25.x يحتوي على ثغرة تجاوز الحماية الرملية تسمح للمهاجمين بتنفيذ كود PHP عشوائي عبر مرشحات القوالب. المنظمات التي تستخدم Twig لعرض القوالب مع حماية الحماية الرملية معرضة لهجمات تنفيذ الأكواد.

🤖 التحليل الذكي آخر تحليل: May 22, 2026 15:58

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1059.007 T1190 T1203 T1211

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Update Twig to version 2.17.0 or later for 2.16.x branch, or 3.26.0 or later for 3.9.0+ branch. Implement strict input validation for template sources and disable dynamic template rendering from untrusted sources. Review and restrict template filter usage in production environments.

🔧 خطوات المعالجة (العربية)

قم بتحديث Twig إلى الإصدار 2.17.0 أو أحدث للفرع 2.16.x، أو 3.26.0 أو أحدث للفرع 3.9.0+. قم بتطبيق التحقق الصارم من صحة مصادر القوالب وتعطيل عرض القوالب الديناميكية من مصادر غير موثوقة. راجع وقيد استخدام مرشحات القوالب في بيئات الإنتاج.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.1 A.2 A.3 A.4

🔵 SAMA CSF

ID.GV-1 PR.IP-1 PR.IP-2 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.12.6.1 A.14.1.1 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/twigphp/Twig/releases/tag/v3.26.0

disclosure@vulncheck.com

🔗

https://github.com/twigphp/Twig/security/advisories/GHSA-2q52-x2ff-qgfr

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/twig-x-x-sandbox-bypass-via-sourcepolicyinterface

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-693

EPSS0.11%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-20

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-693

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-24425

عرّفنا بنفسك

تسجيل الدخول مطلوب