CVE-2026-33285 in liquidjs정보

요약

\~에 의해 VulDB • 2026. 05. 27.

LiquidJS는 순수 JavaScript로 작성된 Shopify 및 GitHub Pages 호환 템플릿 엔진입니다. 버전 10.25.1 이전의 LiquidJS에서 `memoryLimit` 보안 메커니즘은 역방향 범위 표현식(예: `(100000000..1)`)을 사용하여 완전히 우회될 수 있으며, 이로 인해 공격자가 무제한 메모리를 할당할 수 있습니다. 문자열 평탄화 연산(예: `replace` 필터)과 결합되면 V8 치명적 오류가 발생하여 Node.js 프로세스가 충돌하고, 단일 HTTP 요청으로 인해 완전한 서비스 거부(Denial of Service)가 발생합니다. 버전 10.25.1에서 해당 문제가 패치되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 03. 18.

모더레이션

수락

항목

VDB-353533

EPSS

0.00398

출처

Do you need the next level of professionalism?

Upgrade your account now!