CVE-2026-33941 in Handlebars
Sumário
de VulDB • 28/05/2026
O Handlebars oferece a potência necessária para permitir que os usuários criem modelos semânticos. Nas versões 4.0.0 a 4.7.8, o pré-compilador da CLI do Handlebars (`bin/handlebars` / `lib/precompiler.js`) concatena strings controladas pelo usuário — nomes de arquivos de modelo e várias opções de CLI — diretamente no JavaScript que ele gera, sem qualquer escape ou sanitização. Um atacante que possa influenciar os nomes dos arquivos de modelo ou os argumentos da CLI pode injetar JavaScript arbitrário que é executado quando o pacote gerado é carregado no Node.js ou em um navegador. A versão 4.7.9 corrige o problema. Algumas soluções alternativas estão disponíveis. Primeiro, valide todas as entradas da CLI antes de invocar o pré-compilador. Rejeite nomes de arquivos e valores de opções que contenham caracteres com significado de escape de string no JavaScript (`"`, `'`, `;`, etc.). Segundo, use uma string de namespace fixa e confiável passada por meio de um arquivo de configuração, em vez de argumentos de linha de comando, em pipelines automatizados. Terceiro, execute o pré-compilador em um ambiente isolado (container sem acesso de gravação a caminhos sensíveis) para limitar o impacto da exploração bem-sucedida. Quarto, audite os nomes dos arquivos de modelo em qualquer repositório ou pacote consumido por um pipeline de build automatizado.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.