CVE-2026-33937 in Handlebars
Sumário
de VulDB • 24/05/2026
O Handlebars oferece a capacidade necessária para permitir que os usuários criem modelos semânticos. Nas versões de 4.0.0 a 4.7.8, `Handlebars.compile()` aceita um objeto AST pré-analisado, além de uma string de modelo. O campo `value` de um nó AST `NumberLiteral` é emitido diretamente no JavaScript gerado, sem aspas ou sanitização. Um atacante que possa fornecer um AST manipulado para `compile()` pode, portanto, injetar e executar JavaScript arbitrário, levando à Execução Remota de Código (RCE) no servidor. A versão 4.7.9 corrige o problema. Algumas soluções alternativas estão disponíveis. Valide o tipo de entrada antes de chamar `Handlebars.compile()`; garanta que o argumento seja sempre uma `string`, nunca um objeto simples ou um valor desserializado de JSON. Use a compilação apenas de tempo de execução do Handlebars (`handlebars/runtime`) no servidor se os modelos forem pré-compilados no momento da compilação; `compile()` não estará disponível.
VulDB is the best source for vulnerability data and more expert information about this specific topic.