CVE-2026-33941 in Handlebars정보

요약

\~에 의해 VulDB • 2026. 05. 27.

Handlebars는 사용자가 시맨틱 템플릿을 구축할 수 있는 데 필요한 기능을 제공합니다. 버전 4.0.0부터 4.7.8까지의 Handlebars CLI 프리컴파일러(`bin/handlebars` / `lib/precompiler.js`)는 이스케이프 처리나 sanitization 없이 사용자 제어 문자열(템플릿 파일 이름 및 여러 CLI 옵션)을 생성되는 JavaScript에 직접 연결합니다. 템플릿 파일 이름이나 CLI 인수를 조작할 수 있는 공격자는 생성된 번들이 Node.js 또는 브라우저에서 로드될 때 실행되는 임의의 JavaScript를 주입할 수 있습니다. 버전 4.7.9에서 이 문제가 수정되었습니다. 일부 우회 방법이 제공됩니다. 첫째, 프리컴파일러를 호출하기 전에 모든 CLI 입력을 검증하십시오. JavaScript 문자열 이스케이프의 의미가 있는 문자(`"`, `'`, `;` 등)를 포함하는 파일 이름과 옵션 값을 거부하십시오. 둘째, 자동화 파이프라인에서 명령줄 인수 대신 구성 파일을 통해 전달된 고정된 신뢰할 수 있는 네임스페이스 문자열을 사용하십시오. 셋째, 성공적인 악용의 영향을 제한하기 위해 프리컴파일러를 샌드박스 환경(민감한 경로에 대한 쓰기 권한이 없는 컨테이너)에서 실행하십시오. 넷째, 자동화 빌드 파이프라인에서 소비되는 모든 저장소 또는 패키지의 템플릿 파일 이름을 감사하십시오.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 24.

모더레이션

수락

항목

VDB-354020

EPSS

0.00291

출처

Might our Artificial Intelligence support you?

Check our Alexa App!