CVE-2026-33941 in Handlebarsالمعلومات

الملخص

بحسب VulDB • 29/05/2026

توفر مكتبة Handlebars القوة اللازمة للسماح للمستخدمين ببناء قوالب دلالية. في الإصدارات من 4.0.0 إلى 4.7.8، يقوم مترجم Handlebars CLI المسبق (`bin/handlebars` / `lib/precompiler.js`) بدمج السلاسل التي يتحكم فيها المستخدم — وهي أسماء ملفات القوالب وخيارات CLI متعددة — مباشرةً في كود JavaScript الذي ينتجه، دون أي عملية هروب (escaping) أو تنقية (sanitization). يمكن لمهاجم قادر على التأثير في أسماء ملفات القوالب أو وسائط سطر الأوامر (CLI arguments) أن يحقن كود JavaScript تعسفيًا يتم تنفيذه عند تحميل الحزمة المُولَّدة في بيئة Node.js أو في متصفح ويب. يُصحّح الإصدار 4.7.9 هذه المشكلة. تتوفر بعض الحلول البديلة (workarounds). أولاً، تحقق من صحة جميع مدخلات CLI قبل استدعاء المترجم المسبق. ارفض أسماء الملفات وقيم الخيارات التي تحتوي على أحرف ذات دلالة في هروب سلاسل JavaScript (`"`, `'`, `;`، إلخ). ثانيًا، استخدم سلسلة مساحة أسماء ثابتة وموثوقة يتم تمريرها عبر ملف تكوين بدلاً من وسائط سطر الأوامر في خطوط الأنابيب الآلية. ثالثًا، شغّل المترجم المسبق في بيئة معزولة (sandboxed) (حاوية container بدون حق الوصول للكتابة إلى المسارات الحساسة) للحد من تأثير الاستغلال الناجح. رابعًا، قم بمراجعة تدقيق (audit) لأسماء ملفات القوالب في أي مستودع أو حزمة يتم استهلاكها بواسطة خط أنابيب بناء آلي.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

24/03/2026

إفشاء

28/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354020

EPSS

0.00291

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!