CVE-2026-33285 in liquidjs
Zusammenfassung
von VulDB • 27.05.2026
LiquidJS ist eine in reinem JavaScript geschriebene Template-Engine, die mit Shopify und GitHub Pages kompatibel ist. Vor Version 10.25.1 kann der Sicherheitsmechanismus `memoryLimit` von LiquidJS durch die Verwendung von umgekehrten Bereichsausdrücken (z. B. `(100000000..1)`) vollständig umgangen werden, was es einem Angreifer ermöglicht, unbegrenzten Speicher zuzuweisen. In Kombination mit einer String-Flattening-Operation (z. B. `replace`-Filter) führt dies zu einem V8 Fatal Error, der den Node.js-Prozess abstürzen lässt und somit einen vollständigen Denial of Service (DoS) durch eine einzelne HTTP-Anfrage verursacht. Version 10.25.1 behebt das Problem.
Be aware that VulDB is the high quality source for vulnerability data.