Plateforme
nodejs
Composant
liquidjs
Corrigé dans
10.25.1
10.25.0
La vulnérabilité CVE-2026-30952 est une faille de traversal de chemin (Path Traversal) affectant la bibliothèque liquidjs, un moteur de template Liquid pour Node.js. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le système, compromettant potentiellement la confidentialité des données sensibles. Elle touche les versions antérieures à 10.25.0 et a été corrigée dans cette version.
L'exploitation de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles sur le serveur, tels que des fichiers de configuration, des clés API, ou même du code source. La faille est due à la manière dont liquidjs gère les chemins de fichiers, en permettant l'utilisation de chemins absolus, soit directement en tant que chaînes de caractères, soit via des variables Liquid (si dynamicPartials: true est activé, ce qui est la configuration par défaut). Un attaquant peut exploiter cette faille en injectant des chemins malveillants dans le contenu du template, ce qui lui permettra d'accéder à des fichiers en dehors du répertoire prévu. Cette vulnérabilité pourrait être exploitée dans des applications web qui utilisent liquidjs pour générer des pages dynamiques, en particulier si les utilisateurs peuvent contrôler le contenu du template ou spécifier le chemin du fichier à inclure.
Cette vulnérabilité a été rendue publique le 2026-03-10. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. La présence d'une configuration par défaut vulnérable (dynamicPartials: true) augmente le risque d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter d'éventuelles preuves d'exploitation.
Applications built on Node.js that utilize liquidjs for templating, particularly those with default configurations enabling dynamicPartials: true or allowing user-controlled template content, are at risk. Shared hosting environments where multiple applications share the same server and file system are also particularly vulnerable, as a compromise in one application could potentially lead to access to files belonging to others.
• nodejs / server:
ps aux | grep liquidjs
find / -name "liquidjs" -type d 2>/dev/null• generic web:
curl -I 'http://your-application.com/templates/include?file=../../../../etc/passwd' # Attempt to access sensitive files
grep -r 'require.resolve' /path/to/your/application/node_modules/liquidjs/disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
La mitigation principale consiste à mettre à jour liquidjs vers la version 10.25.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver la fonctionnalité dynamicPartials en définissant dynamicPartials: false dans la configuration de liquidjs. Il est également recommandé de mettre en œuvre une validation stricte des entrées utilisateur pour empêcher l'injection de chemins malveillants. En cas de déploiement dans un environnement cloud, vérifiez les règles de pare-feu et les politiques de sécurité pour limiter l'accès aux fichiers sensibles. Après la mise à jour, vérifiez la configuration de liquidjs pour vous assurer que dynamicPartials est correctement désactivé si nécessaire.
Actualice la versión de liquidjs a la 10.25.0 o superior. Esto corrige la vulnerabilidad de path traversal que permite el acceso a archivos arbitrarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30952 is a Path Traversal vulnerability affecting liquidjs versions prior to 10.25.0. It allows attackers to potentially read arbitrary files on the server by manipulating template content or filepaths.
You are affected if you are using liquidjs versions earlier than 10.25.0 and your application allows user control over template content or filepaths, especially if dynamicPartials: true is enabled.
Upgrade to liquidjs version 10.25.0 or later. Consider WAF rules or disabling dynamicPartials: true as temporary mitigations.
There is currently no evidence of active exploitation campaigns targeting CVE-2026-30952, but the vulnerability's nature makes it potentially exploitable.
Refer to the liquidjs GitHub repository for updates and advisories: https://github.com/harttle/liquidjs
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.