UNKNOWNCVE-2026-33937
CVE-2026-33937: Handlebars RCE 脆弱性 (JavaScript インジェクション)
プラットフォーム
nodejs
コンポーネント
handlebars
修正バージョン
4.7.9
CVE-2026-33937 は、Handlebars に存在する RCE (Remote Code Execution) の脆弱性です。攻撃者は、細工された AST (Abstract Syntax Tree) を使用して JavaScript を注入し、サーバー上で任意のコードを実行できます。影響を受けるバージョンは不明です。この問題はバージョン 4.7.9 で修正されました。
修正方法
Handlebars.js をバージョン 4.7.9 以降に更新してください。または、`Handlebars.compile()` を呼び出す前に、入力タイプを検証して、常に文字列であり、オブジェクトではないことを確認してください。テンプレートがコンパイル時に事前にコンパイルされている場合は、サーバー上でランタイム専用バージョン (`handlebars/runtime`) を使用してください。
よくある質問
CVE-2026-33937 とは何ですか?
CVE-2026-33937 は、Handlebars における RCE の脆弱性で、攻撃者が JavaScript を注入してサーバー上でコードを実行できます。
影響を受ける可能性はありますか?
Handlebars を使用している場合は、バージョンを確認し、修正プログラムが適用されているか確認してください。
どのように修正すればよいですか?
Handlebars をバージョン 4.7.9 以降にアップデートしてください。これにより、この脆弱性が修正されます。