Plataforma
nodejs
Componente
liquidjs
Corregido en
10.25.4
10.25.3
La vulnerabilidad CVE-2026-34166 afecta a liquidjs, una biblioteca de plantillas JavaScript. Un error en el filtro replace permite a un atacante que controla el contenido de la plantilla evadir la protección DoS del límite de memoria, provocando condiciones de falta de memoria. Esta vulnerabilidad afecta a versiones anteriores a 10.25.3. Se recomienda actualizar a la versión 10.25.3 para mitigar el riesgo.
Esta vulnerabilidad permite a un atacante controlar el contenido de una plantilla LiquidJS para explotar una ineficiencia en el cálculo del uso de memoria. El filtro replace no calcula correctamente el tamaño de la cadena resultante después de la sustitución, lo que lleva a una amplificación de memoria de aproximadamente 2500x. Esto significa que una cadena de entrada relativamente pequeña puede resultar en un consumo de memoria significativamente mayor, superando el memoryLimit configurado y provocando una denegación de servicio (DoS). El impacto principal es la inestabilidad del servidor y la imposibilidad de procesar plantillas, afectando la disponibilidad del servicio.
Esta vulnerabilidad fue publicada el 8 de abril de 2026. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad se considera de baja severidad según el CVSS. No está listada en el KEV de CISA al momento de la redacción. La complejidad de la explotación requiere control sobre el contenido de la plantilla, lo que limita el alcance de la amenaza.
Applications and services utilizing LiquidJS versions prior to 10.25.3 are at risk. This includes Node.js applications that rely on LiquidJS for templating, particularly those handling user-supplied content or external data within templates. Shared hosting environments where multiple users can influence template content are also at increased risk.
• nodejs: Monitor LiquidJS process memory usage. Sudden spikes in memory consumption, especially during template rendering, could indicate exploitation.
ps aux | grep liquidjs | awk '{print $6}' | sort -n• nodejs: Check for unusual template content patterns. Look for extremely long patterns or replacement strings in template files or input data.
grep -r 'very_long_pattern_here' /path/to/templates• generic web: Examine web server access logs for requests containing unusually large template parameters. This may indicate an attempt to trigger the vulnerability.
disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 10.25.3 de liquidjs, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar mitigaciones temporales. Limitar el tamaño máximo de las cadenas de entrada en las plantillas puede ayudar a reducir el riesgo de amplificación de memoria. Además, monitorear el uso de memoria del servidor y establecer alertas para niveles altos puede ayudar a detectar y responder a ataques DoS. No existe una regla WAF específica, pero se puede implementar una regla que limite el tamaño de las cadenas de entrada.
Actualice a la versión 10.25.3 o superior para mitigar la vulnerabilidad. Esta actualización corrige un error en el filtro 'replace' que permitía eludir las restricciones de límite de memoria, lo que podía provocar condiciones de denegación de servicio (DoS) debido a un consumo excesivo de memoria.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34166 is a vulnerability in LiquidJS where the replace filter incorrectly calculates memory usage, allowing attackers to bypass memory limits and potentially cause a denial-of-service.
You are affected if you are using LiquidJS versions prior to 10.25.3. Upgrade to the latest version to mitigate the risk.
Upgrade LiquidJS to version 10.25.3 or later. Consider input validation on template content as an additional precaution.
There is no confirmed active exploitation of CVE-2026-34166 at this time, but a PoC could be developed.
Refer to the LiquidJS project's release notes and security advisories on their GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.