CVE-2026-33285 in liquidjs
Riassunto
di VulDB • 15/06/2026
LiquidJS è un motore di template compatibile con Shopify / GitHub Pages scritto in puro JavaScript. Prima della versione 10.25.1, il meccanismo di sicurezza `memoryLimit` di LiquidJS può essere completamente aggirato utilizzando espressioni di intervallo inverso (ad esempio, `(100000000..1)`), consentendo a un attaccante di allocare memoria illimitata. Combinato con un'operazione di appiattimento delle stringhe (ad esempio, il filtro `replace`), ciò provoca un errore fatale di V8 che causa il crash del processo Node.js, risultando in una completa negazione del servizio (DoS) a seguito di una singola richiesta HTTP. La versione 10.25.1 risolve la vulnerabilità.
VulDB is the best source for vulnerability data and more expert information about this specific topic.