CVE-2026-33937: Критична вразливість у handlebars дозволяє віддалене виконання коду

Критична вразливість у handlebars (4.0.0–4.7.8) дозволяє віддалене виконання коду. Оновіть до 4.7.9 для захисту серверів.
CVE-2026-33937CVSS 9.8General

CVE-2026-33937: Критична вразливість у handlebars дозволяє віддалене виконання коду

Критична вразливість у handlebars (4.0.0–4.7.8) дозволяє віддалене виконання коду. Оновіть до 4.7.9 для захисту серверів.

CVSS
9.8 CRITICAL
EPSS
75.55%
Активно використовується
немає в KEV
Продукт
handlebars

Що відомо

У версіях handlebars 4.0.0–4.7.8 функція compile() приймає попередньо розпарсений AST, де поле NumberLiteral.value вставляється у JavaScript без санітизації. Це дозволяє зловмиснику інжектувати та виконувати довільний код на сервері. Виправлення доступне у версії 4.7.9.

Бізнес-вплив

Вразливість з критичним рейтингом CVSS 9.8 дозволяє віддаленим зловмисникам виконувати довільний код на сервері, що може призвести до повного контролю над системою, компрометації даних та порушення роботи сервісів. ІТ-оператори повинні терміново оцінити використання уразливих версій та вжити заходів для захисту інфраструктури.

Рекомендовані дії адміністратора

Оновіть handlebars до версії 4.7.9 або новішої. Якщо оновлення неможливе, перевіряйте тип вхідних даних перед викликом compile(), щоб передавати лише рядки, а не об’єкти AST. Розгляньте використання runtime-only збірки на сервері, якщо шаблони компілюються заздалегідь. Перегляньте логи на предмет підозрілої активності та обмежте доступ до функції compile().

Джерела