Krytyczna luka w handlebars umożliwiająca zdalne wykonanie kodu (CVE-2026-33937)

Handlebars do wersji 4.7.8 ma krytyczną lukę RCE. Aktualizuj do 4.7.9, weryfikuj typy wejściowe i stosuj runtime-only build.
CVE-2026-33937CVSS 9.8General

Krytyczna luka w handlebars umożliwiająca zdalne wykonanie kodu (CVE-2026-33937)

Handlebars do wersji 4.7.8 ma krytyczną lukę RCE. Aktualizuj do 4.7.9, weryfikuj typy wejściowe i stosuj runtime-only build.

CVSS
9.8 CRITICAL
EPSS
75.55%
Aktywnie wykorzystywana
brak w KEV
Produkt
handlebars

Co wiadomo

W wersjach handlebars od 4.0.0 do 4.7.8 funkcja compile() akceptuje obiekt AST, którego pole value w węźle NumberLiteral jest wstrzykiwane do kodu JavaScript bez sanitizacji. Pozwala to atakującemu na wykonanie zdalnego kodu na serwerze poprzez dostarczenie spreparowanego AST.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.8 umożliwia zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem aplikacji wykorzystującej bibliotekę handlebars w wersjach podatnych. Operatorzy powinni traktować tę lukę priorytetowo, gdyż atak może skutkować poważnymi naruszeniami bezpieczeństwa i utratą danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie handlebars do wersji 4.7.9 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości aktualizacji, należy zweryfikować typ danych przekazywanych do funkcji compile(), aby zawsze były to łańcuchy znaków, a nie obiekty AST. Alternatywnie można stosować wersję runtime-only, jeśli szablony są kompilowane podczas budowania aplikacji. Dodatkowo warto ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności i priorytetyzować działania naprawcze.

Źródła