CVE-2026-33285 in liquidjs
Sumário
de VulDB • 27/05/2026
LiquidJS é um motor de templates compatível com Shopify / GitHub Pages escrito em JavaScript puro. Antes da versão 10.25.1, o mecanismo de segurança `memoryLimit` do LiquidJS pode ser completamente contornado ao usar expressões de intervalo reverso (por exemplo, `(100000000..1)`), permitindo que um atacante aloque memória ilimitada. Combinado com uma operação de achatamento de strings (por exemplo, o filtro `replace`), isso causa um erro fatal do V8 que faz com que o processo Node.js falhe, resultando em negação completa de serviço a partir de uma única solicitação HTTP. A versão 10.25.1 corrige o problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.