CVE-2026-33941 in Handlebarsinfo

Zusammenfassung

von VulDB • 27.05.2026

Handlebars bietet die notwendige Leistungsfähigkeit, um Benutzern den Aufbau semantischer Vorlagen zu ermöglichen. In den Versionen 4.0.0 bis 4.7.8 konkateniert der Handlebars-CLI-Precompiler (`bin/handlebars` / `lib/precompiler.js`) benutzerkontrollierte Strings – Vorlagendateinamen und mehrere CLI-Optionen – direkt in den generierten JavaScript-Code, ohne jegliche Escaping- oder Sanitization-Maßnahmen. Ein Angreifer, der Vorlagendateinamen oder CLI-Argumente beeinflussen kann, kann beliebiges JavaScript injizieren, das ausgeführt wird, wenn das generierte Bundle in Node.js oder einem Browser geladen wird. Version 4.7.9 behebt das Problem. Es sind einige Workarounds verfügbar. Erstens sollten alle CLI-Eingaben vor dem Aufruf des Precompilers validiert werden. Lehnen Sie Dateinamen und Optionswerte ab, die Zeichen enthalten, die für die JavaScript-String-Escaping-Bedeutung relevant sind (`"`, `'`, `;` usw.). Zweitens verwenden Sie einen festen, vertrauenswürdigen Namespace-String, der über eine Konfigurationsdatei und nicht über Befehlszeilenargumente in automatisierten Pipelines übergeben wird. Drittens führen Sie den Precompiler in einer sandgeboxten Umgebung (Container ohne Schreibzugriff auf sensible Pfade) aus, um die Auswirkungen einer erfolgreichen Ausnutzung zu begrenzen. Viertens prüfen Sie Vorlagendateinamen in jedem Repository oder Paket, das von einer automatisierten Build-Pipeline verwendet wird.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

24.03.2026

Veröffentlichung

28.03.2026

Moderieren

akzeptiert

Eintrag

VDB-354020

CPE

bereit

EPSS

0.00291

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!