UNKNOWNCVE-2026-33937
CVE-2026-33937 Handlebars 模板注入 RCE 漏洞
平台
nodejs
组件
handlebars
已修复版本
4.7.9
CVE-2026-33937 描述了 Handlebars 中的一个严重漏洞,该漏洞允许攻击者通过注入恶意 JavaScript 代码进行远程代码执行 (RCE)。攻击者可以利用此漏洞控制服务器。该漏洞影响 Handlebars。 幸运的是,该问题已在 4.7.9 版本中得到修复。
修复方法
将 Handlebars.js 更新到 4.7.9 或更高版本。或者,在调用 `Handlebars.compile()` 之前验证输入类型,以确保它始终是一个字符串而不是一个对象。如果模板在编译时预编译,请在服务器上使用仅运行时版本 (`handlebars/runtime`)。
常见问题
什么是 CVE-2026-33937 漏洞?
CVE-2026-33937 是 Handlebars 中的一个模板注入漏洞,允许攻击者注入恶意 JavaScript 代码,从而导致远程代码执行。
我是否受到 CVE-2026-33937 漏洞的影响?
如果您正在使用 Handlebars,则您可能受到此漏洞的影响。
如何修复 CVE-2026-33937 漏洞?
升级到 Handlebars 4.7.9 或更高版本以修复此漏洞。