CVE-2026-45357— harttle liquidjs 资源管理错误漏洞
Possible ATT&CK Techniques 1AI
T1496 · Resource Hijacking新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-45357の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
LiquidJS: Memory and render limit bypass via unbounded width padding in `date` filter (strftime)
ソース: NVD (National Vulnerability Database)
脆弱性説明
LiquidJS is a Shopify/GitHub Pages compatible template engine written in pure JavaScript. In versions 10.25.7 and below, the date filter's strftime implementation parses width specifiers like %9999999d and forwards the captured width unchecked into pad()/padStart(), leading to memory and render limit bypass. In src/util/underscore.ts, the pad loop performs unbounded string concatenation without consulting the Context's memoryLimit or renderLimit, so a single small template ({{ x | date: '%5000000d' }}) produces megabytes of output and unbounded CPU. The memoryLimit and renderLimit options the docs (src/liquid-options.ts:87-92) advertise as DoS controls — and which the docstring explicitly mentions for strftime — are entirely bypassed. Exploitation can cause large memory allocations, high CPU usage, or OOM crashes per render. This issue has been fixed in version 10.26.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
未加控制的资源消耗(资源穷尽)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
harttle liquidjs 资源管理错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
harttle liquidjs是harttle的嵌入式Web服务器。 harttle liquidjs 10.25.7及之前版本存在安全漏洞,该漏洞源于日期过滤器的strftime实现中未检查宽度说明符,将捕获的宽度无限制传入pad()/padStart(),导致内存和渲染限制绕过,可能造成大量内存分配、CPU使用率高或内存耗尽崩溃。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-45357の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-45357のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-45357 厂商安全公告 (1)
CVE-2026-45357 厂商页面 (1)
- 🔗 Release v10.26.0 · harttle/liquidjs · GitHubx_refsource_MISC
Same Patch Batch · harttle · 2026-06-17 · 5 CVEs total
| CVE-2026-45617 | 7.5 HIGH | LiquidJS: ReDoS via Quadratic Backtracking in `strip_html` Filter Regex |
| CVE-2026-44645 | 6.5 MEDIUM | LiquidJS has a renderLimit DoS guard bypass via empty `{% for %}` body |
| CVE-2026-44644 | 6.1 MEDIUM | LiquidJS's strip_html filter bypass via newline characters in HTML tags enables XSS |
| CVE-2026-44646 | 5.3 MEDIUM | LiquidJS: `{% render %}` tag silently bypasses per-render `ownPropertyOnly:true` via `Cont |
IV. 関連脆弱性
同じ製品: liquidjs
- CVE-2026-44646
LiquidJS: `{% render %}` tag silently bypasses per-render `o - CVE-2026-45617
LiquidJS: ReDoS via Quadratic Backtracking in `strip_html` F - CVE-2026-44645
LiquidJS has a renderLimit DoS guard bypass via empty `{% fo - CVE-2026-44644
LiquidJS's strip_html filter bypass via newline characters i - CVE-2026-41311
LiquidJS is vulnerable to Denial of Service via circular blo
同じベンダー: harttle
- CVE-2026-44646
LiquidJS: `{% render %}` tag silently bypasses per-render `o - CVE-2026-45617
LiquidJS: ReDoS via Quadratic Backtracking in `strip_html` F - CVE-2026-44645
LiquidJS has a renderLimit DoS guard bypass via empty `{% fo - CVE-2026-44644
LiquidJS's strip_html filter bypass via newline characters i - CVE-2026-41311
LiquidJS is vulnerable to Denial of Service via circular blo
同じ弱点: CWE-400
- CVE-2026-9375
Decompression Bomb Bypass via Negative max_length in Streami - CVE-2026-49293
CPU exhaustion via O(n^2) BigInt construction on radix-prefi - CVE-2026-48937
Node.js 22/24 HTTP/2服务器GoAway帧后持续接收数据漏洞 - CVE-2025-53114
CometD has acknowledgement extension out of memory - CVE-2025-32437
AutoGPT has a DoS vulnerability in MediaDurationBlock
V. CVE-2026-45357へのコメント
まだコメントはありません