Platform
nodejs
Component
liquidjs
Opgelost in
10.25.1
10.25.0
CVE-2026-30952 beschrijft een Path Traversal kwetsbaarheid in liquidjs, een JavaScript template engine. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op het systeem te benaderen via manipulatie van bestandsnamen in templates. De kwetsbaarheid treedt op wanneer dynamicPartials: true is ingeschakeld (de standaardinstelling) en wordt verholpen in versie 10.25.0.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om gevoelige bestanden op het systeem te lezen, zoals configuratiebestanden, broncode of andere vertrouwelijke gegevens. Dit kan leiden tot datalekken, ongeautoriseerde toegang tot systemen en mogelijk verdere compromittering. De kwetsbaarheid is vooral ernstig omdat LiquidJS require.resolve() gebruikt als fallback, zonder de directories te beperken waaruit het kan oplossen. Dit maakt het mogelijk om bestanden buiten de beoogde template directory te benaderen.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-03-10. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is significant vanwege de mogelijkheid om willekeurige bestanden te benaderen. De impact is verhoogd door het feit dat dynamicPartials: true de standaardinstelling is, waardoor veel systemen kwetsbaar zijn.
Applications built on Node.js that utilize liquidjs for templating, particularly those with default configurations enabling dynamicPartials: true or allowing user-controlled template content, are at risk. Shared hosting environments where multiple applications share the same server and file system are also particularly vulnerable, as a compromise in one application could potentially lead to access to files belonging to others.
• nodejs / server:
ps aux | grep liquidjs
find / -name "liquidjs" -type d 2>/dev/null• generic web:
curl -I 'http://your-application.com/templates/include?file=../../../../etc/passwd' # Attempt to access sensitive files
grep -r 'require.resolve' /path/to/your/application/node_modules/liquidjs/disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van liquidjs naar versie 10.25.0 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het uitschakelen van dynamicPartials: true in uw LiquidJS configuratie. Dit beperkt de mogelijkheden voor aanvallers om bestandsnamen te manipuleren. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om verdachte verzoeken te blokkeren. Controleer ook de toegangsrechten op de bestanden en directories die door LiquidJS worden gebruikt om te zorgen dat alleen geautoriseerde gebruikers toegang hebben.
Werk de versie van (liquidjs) bij naar 10.25.0 of hoger. Dit corrigeert de (path traversal) kwetsbaarheid die toegang tot willekeurige bestanden mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-30952 is een Path Traversal kwetsbaarheid in liquidjs, waardoor aanvallers willekeurige bestanden kunnen benaderen via manipulatie van bestandsnamen in templates.
Ja, als u een versie van liquidjs gebruikt die eerder dan 10.25.0 is, en dynamicPartials: true is ingeschakeld, bent u kwetsbaar.
Upgrade liquidjs naar versie 10.25.0 of hoger. Als dit niet mogelijk is, schakel dan dynamicPartials: true uit.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de kwetsbaarheid is significant en vereist aandacht.
U kunt de officiële advisory vinden op de GitHub repository van liquidjs: https://github.com/harttle/liquidjs/pull/855
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.