anonhaven

CVE-2026-33916

MEDIUM CVSS 3.1: 4,7 EPSS 0.04%
Обновлено 31 марта 2026
Handlebarsjs
Параметр Значение
CVSS 4,7 (MEDIUM)
Уязвимые версии 4.0.0 — 4.7.9
Устранено в версии 4.7.9
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS)), CWE-1321 (Загрязнение прототипа)
Поставщик Handlebarsjs
Публичный эксплойт Нет

Handlebars предоставляет пользователям возможность создавать семантические шаблоны. В версиях с 4.0.0 по 4.7.8 функция resolvePartial() в среде выполнения Handlebars разрешает частичные имена посредством простого поиска свойств в `options.partials` без защиты от обхода цепочки прототипов. Когда `Object.prototype` загрязнен строковым значением, ключ которого соответствует частичной ссылке в шаблоне, загрязненная строка используется как частичное тело и отображается без экранирования HTML, что приводит к отражению или сохранению XSS.

Версия 4.7.9 устраняет проблему. Доступны некоторые обходные пути. Примените `Object.freeze(Object.prototype)` на раннем этапе запуска приложения, чтобы предотвратить загрязнение прототипа.

Примечание. Это может привести к поломке других библиотек и/или использованию сборки Handlebars только для среды выполнения («handlebars/runtime»), которая не компилирует шаблоны и уменьшает поверхность атаки.

Показать оригинальное описание (EN)

Handlebars provides the power necessary to let users build semantic templates. In versions 4.0.0 through 4.7.8, `resolvePartial()` in the Handlebars runtime resolves partial names via a plain property lookup on `options.partials` without guarding against prototype-chain traversal. When `Object.prototype` has been polluted with a string value whose key matches a partial reference in a template, the polluted string is used as the partial body and rendered without HTML escaping, resulting in reflected or stored XSS. Version 4.7.9 fixes the issue. Some workarounds are available. Apply `Object.freeze(Object.prototype)` early in application startup to prevent prototype pollution. Note: this may break other libraries, and/or use the Handlebars runtime-only build (`handlebars/runtime`), which does not compile templates and reduces the attack surface.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))
CWE-1321 Prototype Pollution (Загрязнение прототипа)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Handlebarsjs Handlebars
cpe:2.3:a:handlebarsjs:handlebars:*:*:*:*:*:node.js:*:*
 4.0.0 4.7.9

Ссылки 3

https://github.com/handlebars-lang/handlebars.js/commit/68d8df5a88e0a26fe9e6084…
security-advisories@github.com
https://github.com/handlebars-lang/handlebars.js/releases/tag/v4.7.9
security-advisories@github.com
https://github.com/handlebars-lang/handlebars.js/security/advisories/GHSA-2qvq-…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33941

Handlebarsjs

8,2

CVE-2026-33940

Handlebarsjs

8,1

CVE-2026-33939

Handlebarsjs

7,5

CVE-2026-33938

Handlebarsjs

8,1

CVE-2026-33937

Handlebarsjs

9,8