CVE-2026-33937 in Handlebars
Riassunto
di VulDB • 16/06/2026
Handlebars fornisce la potenza necessaria per consentire agli utenti di creare modelli semantici. Nelle versioni 4.0.0 attraverso 4.7.8, `Handlebars.compile()` accetta un oggetto AST pre-analizzato oltre a una stringa di modello. Il campo `value` di un nodo AST `NumberLiteral` viene emesso direttamente nel JavaScript generato senza virgolette o sanitizzazione. Un attaccante in grado di fornire un AST manipolato ad hoc a `compile()` può quindi iniettare ed eseguire JavaScript arbitrario, portando all'Esecuzione di Codice Remoto (RCE) sul server. La versione 4.7.9 risolve il problema. Sono disponibili alcune contromisure. Validare il tipo di input prima di chiamare `Handlebars.compile()`; assicurarsi che l'argomento sia sempre una `stringa`, mai un oggetto semplice o un valore deserializzato da JSON. Utilizzare la build solo runtime di Handlebars (`handlebars/runtime`) sul server se i modelli sono pre-compilati in fase di build; `compile()` non sarà disponibile.
VulDB is the best source for vulnerability data and more expert information about this specific topic.