Krytyczna luka w handlebars umożliwiająca zdalne wykonanie kodu (CVE-2026-33937)
Handlebars do wersji 4.7.8 ma krytyczną lukę RCE. Aktualizuj do 4.7.9, weryfikuj typy wejściowe i stosuj runtime-only build.
- CVSS
- 9.8 CRITICAL
- EPSS
- 75.55%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- handlebars
Co wiadomo
W wersjach handlebars od 4.0.0 do 4.7.8 funkcja compile() akceptuje obiekt AST, którego pole value w węźle NumberLiteral jest wstrzykiwane do kodu JavaScript bez sanitizacji. Pozwala to atakującemu na wykonanie zdalnego kodu na serwerze poprzez dostarczenie spreparowanego AST.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 9.8 umożliwia zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem aplikacji wykorzystującej bibliotekę handlebars w wersjach podatnych. Operatorzy powinni traktować tę lukę priorytetowo, gdyż atak może skutkować poważnymi naruszeniami bezpieczeństwa i utratą danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie handlebars do wersji 4.7.9 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości aktualizacji, należy zweryfikować typ danych przekazywanych do funkcji compile(), aby zawsze były to łańcuchy znaków, a nie obiekty AST. Alternatywnie można stosować wersję runtime-only, jeśli szablony są kompilowane podczas budowania aplikacji. Dodatkowo warto ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności i priorytetyzować działania naprawcze.