CVE-2026-33916 in Handlebars情報

要約

〜によって VulDB • 2026年05月11日

Handlebarsは、ユーザーがセマンティックなテンプレートを構築するために必要な機能を提供します。バージョン4.0.0から4.7.8において、Handlebarsランタイム内の`resolvePartial()`関数は、`options.partials`上での単純なプロパティルックアップによってパーシャル名を解決しますが、プロトタイプチェーンのたどりを防止するガード処理が行われていません。`Object.prototype`がテンプレート内のパーシャル参照と一致するキーを持つ文字列値で汚染されている場合、その汚染された文字列がパーシャル本体として使用され、HTMLエスケープなしでレンダリングされるため、反射型または格納型のXSSが発生します。バージョン4.7.9でこの問題は修正されています。いくつかの回避策が利用可能です。アプリケーションの起動時に`Object.freeze(Object.prototype)`を適用してプロトタイプ汚染を防止します。注意: これにより他のライブラリが壊れる可能性があります。また、テンプレートをコンパイルせず攻撃面を縮小するHandlebarsのランタイム専用ビルド(`handlebars/runtime`)を使用することも検討してください。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

モデレーション

承諾済み

エントリ

VDB-353828

EPSS

0.00276

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!