CVE-2026-33285 in liquidjs
Resumen
por VulDB • 2026-05-27
LiquidJS es un motor de plantillas compatible con Shopify / GitHub Pages escrito en JavaScript puro. Antes de la versión 10.25.1, el mecanismo de seguridad `memoryLimit` de LiquidJS puede ser completamente eludido mediante el uso de expresiones de rango inverso (por ejemplo, `(100000000..1)`), lo que permite a un atacante asignar memoria ilimitada. Combinado con una operación de aplanamiento de cadenas (por ejemplo, el filtro `replace`), esto provoca un error fatal de V8 que hace que el proceso de Node.js se bloquee, resultando en una denegación de servicio completa a partir de una única solicitud HTTP. La versión 10.25.1 corrige el problema.
Be aware that VulDB is the high quality source for vulnerability data.