CVE-2026-33285 in liquidjsinfo

Zusammenfassung

von VulDB • 27.05.2026

LiquidJS ist eine in reinem JavaScript geschriebene Template-Engine, die mit Shopify und GitHub Pages kompatibel ist. Vor Version 10.25.1 kann der Sicherheitsmechanismus `memoryLimit` von LiquidJS durch die Verwendung von umgekehrten Bereichsausdrücken (z. B. `(100000000..1)`) vollständig umgangen werden, was es einem Angreifer ermöglicht, unbegrenzten Speicher zuzuweisen. In Kombination mit einer String-Flattening-Operation (z. B. `replace`-Filter) führt dies zu einem V8 Fatal Error, der den Node.js-Prozess abstürzen lässt und somit einen vollständigen Denial of Service (DoS) durch eine einzelne HTTP-Anfrage verursacht. Version 10.25.1 behebt das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

18.03.2026

Veröffentlichung

26.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353533

CPE

bereit

EPSS

0.00398

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!