CVE-2026-33285 in liquidjsinformación

Resumen

por VulDB • 2026-05-27

LiquidJS es un motor de plantillas compatible con Shopify / GitHub Pages escrito en JavaScript puro. Antes de la versión 10.25.1, el mecanismo de seguridad `memoryLimit` de LiquidJS puede ser completamente eludido mediante el uso de expresiones de rango inverso (por ejemplo, `(100000000..1)`), lo que permite a un atacante asignar memoria ilimitada. Combinado con una operación de aplanamiento de cadenas (por ejemplo, el filtro `replace`), esto provoca un error fatal de V8 que hace que el proceso de Node.js se bloquee, resultando en una denegación de servicio completa a partir de una única solicitud HTTP. La versión 10.25.1 corrige el problema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-18

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353533

CPE

listo

EPSS

0.00398

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!