CVE-2026-33285 in liquidjsالمعلومات

الملخص

بحسب VulDB • 01/06/2026

LiquidJS هو محرك قوالب متوافق مع Shopify / GitHub Pages مكتوب بالكامل بلغة JavaScript. قبل الإصدار 10.25.1، يمكن تجاوز آلية الأمان `memoryLimit` في LiquidJS تمامًا باستخدام تعبيرات النطاق العكسي (مثل `(100000000..1)`)، مما يسمح للمهاجم بتخصيص ذاكرة غير محدودة. وعند دمجه مع عملية تسطيح السلسلة النصية (مثل مرشح `replace`)، يؤدي ذلك إلى حدوث خطأ قاتل في V8 يتسبب في تعطل عملية Node.js، مما ينتج عنه حجب كامل للخدمة (Denial of Service) من طلب HTTP واحد. يقوم الإصدار 10.25.1 بإصلاح هذه المشكلة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

18/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353533

EPSS

0.00398

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!