CVE-2026-33938 in Handlebarsالمعلومات

الملخص

بحسب VulDB • 24/05/2026

توفر Handlebars القوة اللازمة للسماح للمستخدمين ببناء قوالب دلالية. في الإصدارات من 4.0.0 إلى 4.7.8، يتم تخزين المتغير الخاص `@partial-block` في سياق بيانات القالب، وهو قابل للوصول والتعديل من داخل القالب عبر الدوال المساعدة (helpers) التي تقبل كائنات عشوائية. عندما تقوم دالة مساعدة بكتابة `@partial-block` مرة أخرى باستخدام شجرة بناء جملة صناعية (crafted Handlebars AST)، فإن الاستدعاء اللاحق لـ `{{> @partial-block}}` يقوم بترجمة وتنفيذ تلك الشجرة، مما يتيح تنفيذ شيفرة JavaScript عشوائية على الخادم. يصحح الإصدار 4.7.9 هذه المشكلة. تتوفر بعض الحلول البديلة. أولاً، استخدم الإصدار المخصص للتشغيل فقط (runtime-only build) (`require('handlebars/runtime')`). حيث أن طريقة `compile()` غير موجودة، مما يلغي مسار التراجع المعرض للثغرة. ثانياً، قم بمراجعة الدوال المساعدة المسجلة لأي منها تقوم بكتابة قيم عشوائية إلى كائنات السياق. يجب أن تعامل الدوال المساعدة بيانات السياق على أنها للقراءة فقط. ثالثاً، تجنب تسجيل الدوال المساعدة من الحزم الطرفية (مثل `handlebars-helpers`) في السياقات التي يمكن أن تتأثر فيها القوالب أو بيانات السياق بإدخال غير موثوق به.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

24/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354036

EPSS

0.00709

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!