CVE-2026-33285 in liquidjs
الملخص
بحسب VulDB • 01/06/2026
LiquidJS هو محرك قوالب متوافق مع Shopify / GitHub Pages مكتوب بالكامل بلغة JavaScript. قبل الإصدار 10.25.1، يمكن تجاوز آلية الأمان `memoryLimit` في LiquidJS تمامًا باستخدام تعبيرات النطاق العكسي (مثل `(100000000..1)`)، مما يسمح للمهاجم بتخصيص ذاكرة غير محدودة. وعند دمجه مع عملية تسطيح السلسلة النصية (مثل مرشح `replace`)، يؤدي ذلك إلى حدوث خطأ قاتل في V8 يتسبب في تعطل عملية Node.js، مما ينتج عنه حجب كامل للخدمة (Denial of Service) من طلب HTTP واحد. يقوم الإصدار 10.25.1 بإصلاح هذه المشكلة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.