Handlebars < 4.7.9 AST注入RCE漏洞 (CVE-2026-33937)

漏洞类型 使用不兼容类型访问资源(类型混淆) 发现时间 2026-03-30 漏洞等级 严重
MPS编号 MPS-th3l-nwyq CVE编号 CVE-2026-33937 漏洞影响广度 一般

漏洞危害

OSCS 描述
Handlebars 是一个流行的 JavaScript 语义化模板引擎,用于构建动态网页和 Node.js 应用。
受影响版本中,Handlebars.compile() 函数除接受字符串模板外,还接受预解析的 AST 对象作为输入。编译器在将 AST 转换为可执行 JavaScript 函数时,未对 NumberLiteral 节点的 value 字段进行类型校验,直接将该字段内容拼接进生成的 JavaScript 代码字符串。攻击者可构造包含任意字符串(而非数字)的 value 字段,使生成代码中嵌入恶意逻辑,从而在服务端触发任意 JavaScript 代码执行(RCE)。
修复版本中通过在 lib/handlebars/compiler/base.js 新增 validateInputAst() 函数,在编译前对所有 AST 节点字段进行递归类型校验,要求 NumberLiteral.value 必须为有限数字、PathExpression.parts 仅含字符串、BooleanLiteral.value 必须为布尔值,对不合法输入直接抛出异常,从根本上切断注入路径。
参考链接:https://www.oscs1024.com/hd/MPS-th3l-nwyq

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
handlebars [4.0.0,4.7.9) 升级 将组件 handlebars 升级至 4.7.9 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-th3l-nwyq

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-th3l-nwyq

https://nvd.nist.gov/vuln/detail/CVE-2026-33937

https://github.com/handlebars-lang/handlebars.js/security/advisories/GHSA-2w6w-674q-4c4q

https://github.com/handlebars-lang/handlebars.js/commit/68d8df5a88e0a26fe9e6084c5c6aaebe67b07da2

https://github.com/handlebars-lang/handlebars.js/releases/tag/v4.7.9

(0)
上一篇 2026年3月31日 上午10:31
下一篇 2026年3月31日 上午10:33

相关推荐

  • Argo CD 集群密钥泄漏风险 (CVE-2023-40029)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-09-08 漏洞等级 严重 MPS编号 MPS-jby0-dvsh CVE编号 CVE-2023-40029 漏洞影响广度 广 漏洞危害 OSCS 描述 Argo CD 是用于 Kubernetes 的声明性 GitOps 持续交付工具,Kubernetes 集群密钥存储在 kubectl.kubernete…

    2023年9月11日
    0
  • tough-cookie<4.1.3 存在原型污染漏洞

    漏洞类型 原型污染 发现时间 2023/7/1 漏洞等级 中危 MPS编号 MPS-esyq-56vx CVE编号 – 漏洞影响广度 一般 漏洞危害OSCS 描述tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。受影响版本中的 rejectPublicSuffixes=false 模式下使用 Cook…

    2023年8月30日
    0
  • NPM组件包 openssl v2.0 存在命令注入漏洞 (CVE-2023-49210)

    漏洞类型 命令注入 发现时间 2023-11-24 漏洞等级 高危 MPS编号 MPS-z1fn-loy8 CVE编号 CVE-2023-49210 漏洞影响广度 小 漏洞危害 OSCS 描述 openssl(又名node-openssl) NPM组件包是对开源加密仓库 OpenSSL 的封装,用于调用 OpenSSL 实现数据加密和签名。openssl 函…

    2023年11月26日
    0
  • React/Next.js最新远程代码执行漏洞实际影响有限,仅影响近一年应用

    漏洞描述 12月4日,React 与 Next.js 官方披露了两个与 React Server Components(RSC)相关的远程代码执行严重漏洞:CVE-2025-55182(React) 与 CVE-2025-66478(Next.js),其根因都是由于react-server-dom系列的三个实验性对Flight协议的反序列化实现不当,这些组件…

    2025年12月4日
    0
  • NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞

    【严重】NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞 漏洞描述 NVIDIA Container Toolkit 是用于在容器中启用 GPU 加速计算的官方工具集,支持 NVIDIA 显卡驱动与 CUDA 环境的集成运行。受漏洞影响版本中,NVIDIA Container Toolkit 中的 hook 初始化机制存…

    2025年7月20日
    0