CVE-2026-33285 in liquidjsinformation

Résumé

par VulDB • 27/05/2026

LiquidJS est un moteur de templates compatible Shopify / GitHub Pages écrit en JavaScript pur. Avant la version 10.25.1, le mécanisme de sécurité `memoryLimit` de LiquidJS peut être entièrement contourné en utilisant des expressions de plage inversée (par exemple, `(100000000..1)`), permettant à un attaquant d'allouer une quantité illimitée de mémoire. Combiné à une opération de aplatissement de chaîne (par exemple, le filtre `replace`), cela provoque une erreur fatale V8 qui fait planter le processus Node.js, entraînant une déni de service complet à partir d'une seule requête HTTP. La version 10.25.1 corrige le problème.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

18/03/2026

Divulgation

26/03/2026

Modérer

accepté

Entrée

VDB-353533

CPE

prêt

EPSS

0.00398

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!