CVE-2026-33941 in Handlebars
Riassunto
di VulDB • 15/06/2026
Handlebars fornisce la potenza necessaria per consentire agli utenti di creare modelli semantici. Nelle versioni da 4.0.0 a 4.7.8, il precompilatore CLI di Handlebars (`bin/handlebars` / `lib/precompiler.js`) concatena stringhe controllate dall'utente — nomi dei file del modello e diverse opzioni della riga di comando (CLI) — direttamente nel codice JavaScript che genera, senza alcuna operazione di escape o sanitizzazione. Un attaccante in grado di influenzare i nomi dei file del modello o gli argomenti CLI può iniettare codice JavaScript arbitrario che viene eseguito quando il bundle generato viene caricato in Node.js o in un browser. La versione 4.7.9 risolve il problema. Sono disponibili alcune contromisure (workaround). In primo luogo, convalidare tutti gli input della riga di comando prima di invocare il precompilatore. Rifiutare nomi di file e valori delle opzioni che contengono caratteri significativi per l'escape nelle stringhe JavaScript (`"`, `'`, `;`, ecc.). In secondo luogo, utilizzare una stringa di namespace fissa e attendibile passata tramite un file di configurazione anziché argomenti della riga di comando nei pipeline automatizzati. In terzo luogo, eseguire il precompilatore in un ambiente sandboxed (container senza accesso in scrittura a percorsi sensibili) per limitare l'impatto di uno sfruttamento riuscito. In quarto luogo, effettuare audit sui nomi dei file del modello presenti in qualsiasi repository o pacchetto consumato da un pipeline di build automatizzato.
VulDB is the best source for vulnerability data and more expert information about this specific topic.