CVE-2026-33937 in Handlebars
요약
\~에 의해 VulDB • 2026. 05. 24.
Handlebars는 사용자가 시맨틱한 템플릿을 구축할 수 있는 필요한 기능을 제공합니다. 버전 4.0.0부터 4.7.8까지의 `Handlebars.compile()`은 템플릿 문자열 외에도 사전 파싱된 AST 객체를 허용합니다. `NumberLiteral` AST 노드의 `value` 필드는 따옴표 처리나 sanitization 없이 생성된 JavaScript로 직접 출력됩니다. 따라서 `compile()`에 조작된 AST를 제공할 수 있는 공격자는 임의의 JavaScript를 주입하고 실행하여 서버에서 원격 코드 실행(RCE)을 유발할 수 있습니다. 버전 4.7.9에서 이 문제가 수정되었습니다. 일부 우회 방법이 제공됩니다. `Handlebars.compile()` 호출 전에 입력 유형을 검증하십시오. 인수가 항상 `string`이며 일반 객체나 JSON 역직렬화된 값이 아닌지 확인하십시오. 템플릿이 빌드 시점에 사전 컴파일되는 경우 서버에서 Handlebars 런타임 전용 빌드(`handlebars/runtime`)를 사용하십시오. 이 경우 `compile()`은 사용할 수 없게 됩니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.