CVE-2026-33938 in Handlebars情報

要約

〜によって VulDB • 2026年05月24日

Handlebarsは、ユーザーがセマンティックなテンプレートを作成するために必要な機能を提供します。バージョン4.0.0から4.7.8において、`@partial-block`特殊変数はテンプレートデータコンテキストに保存され、任意のオブジェクトを受け取るヘルパーを介してテンプレート内から到達可能かつ変更可能です。ヘルパーが`@partial-block`を悪意のあるHandlebars ASTで上書きすると、後続の`{{> @partial-block}}`呼び出しによりそのASTがコンパイルおよび実行され、サーバー上で任意のJavaScriptコードの実行が可能になります。バージョン4.7.9でこの問題は修正されています。いくつかの回避策が利用可能です。第一に、ランタイム専用ビルド(`require('handlebars/runtime')`)を使用します。`compile()`メソッドが存在しないため、脆弱なフォールバックパスが排除されます。第二に、コンテキストオブジェクトに任意の値を書き込むヘルパーがないか、登録済みのヘルパーを監査します。ヘルパーはコンテキストデータを不変(読み取り専用)として扱うべきです。第三に、テンプレートやコンテキストデータが信頼できない入力によって影響を受ける可能性のあるコンテキストにおいて、サードパーティパッケージ(例:`handlebars-helpers`)からのヘルパー登録を避けます。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年03月24日

モデレーション

承諾済み

エントリ

VDB-354036

EPSS

0.00709

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!