CVE-2026-33285 in liquidjs
Сводка
по VulDB • 14.05.2026
LiquidJS — это шаблонизатор, совместимый с Shopify и GitHub Pages, написанный на чистом JavaScript. До версии 10.25.1 механизм безопасности `memoryLimit` в LiquidJS может быть полностью обойден с использованием обратных диапазонов (например, `(100000000..1)`), что позволяет злоумышленнику выделять неограниченный объем памяти. В сочетании с операцией сглаживания строк (например, фильтр `replace`) это вызывает фатальную ошибку V8, приводящую к аварийному завершению процесса Node.js и, как следствие, к полному отказу в обслуживании (DoS) от одного HTTP-запроса. Версия 10.25.1 устраняет данную уязвимость.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.