CVE-2026-33285 in liquidjsИнформация

Сводка

по VulDB • 14.05.2026

LiquidJS — это шаблонизатор, совместимый с Shopify и GitHub Pages, написанный на чистом JavaScript. До версии 10.25.1 механизм безопасности `memoryLimit` в LiquidJS может быть полностью обойден с использованием обратных диапазонов (например, `(100000000..1)`), что позволяет злоумышленнику выделять неограниченный объем памяти. В сочетании с операцией сглаживания строк (например, фильтр `replace`) это вызывает фатальную ошибку V8, приводящую к аварийному завершению процесса Node.js и, как следствие, к полному отказу в обслуживании (DoS) от одного HTTP-запроса. Версия 10.25.1 устраняет данную уязвимость.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

18.03.2026

Раскрытие

26.03.2026

Модерация

принято

Вход

VDB-353533

EPSS

0.00398

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!