CVE-2026-33937 in Handlebarsinformation

Résumé

par VulDB • 24/05/2026

Handlebars offre la puissance nécessaire pour permettre aux utilisateurs de créer des modèles sémantiques. Dans les versions 4.0.0 à 4.7.8, `Handlebars.compile()` accepte un objet AST pré-analysé en plus d'une chaîne de modèle. Le champ `value` d'un nœud AST `NumberLiteral` est émis directement dans le JavaScript généré sans mise entre guillemets ni sanitisation. Un attaquant capable de fournir un AST fabriqué à `compile()` peut donc injecter et exécuter du JavaScript arbitraire, entraînant une Exécution de Code à Distance (RCE) sur le serveur. La version 4.7.9 corrige le problème. Des solutions de contournement sont disponibles. Validez le type d'entrée avant d'appeler `Handlebars.compile()` ; assurez-vous que l'argument est toujours une `string`, jamais un objet brut ou une valeur désérialisée depuis du JSON. Utilisez la version runtime-only de Handlebars (`handlebars/runtime`) sur le serveur si les modèles sont pré-compilés lors de la construction ; `compile()` ne sera alors pas disponible.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

24/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353998

CPE

prêt

EPSS

0.01780

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!