JVNDB-2026-009690

HandlebarsjsのHandlebarsにおける複数の脆弱性

Handlebarsはユーザーがセマンティックテンプレートを作成できる機能を提供します。バージョン4.0.0から4.7.8まででは、`@partial-block`という特殊変数がテンプレートデータコンテキストに保存されており、任意のオブジェクトを受け入れるヘルパーを通じてテンプレート内からアクセスおよび変更できます。ヘルパーが悪意を持って作成されたHandlebarsのASTで`@partial-block`を書き換えた場合、その後の`{{ @partial-block}}`の呼び出しにより、そのASTがコンパイルおよび実行され、サーバー上で任意のJavaScriptを実行される可能性があります。バージョン4.7.9でこの問題は修正されました。いくつかの回避策が利用可能です。まず、runtime-onlyビルド（`require('handlebars/runtime')`）を使用してください。これにより`compile()`メソッドが存在せず、脆弱なフォールバック経路は排除されます。次に、任意の値を書き込むヘルパーが登録されていないか監査してください。ヘルパーはコンテキストデータを読み取り専用として扱うべきです。最後に、信頼できない入力の影響を受けるテンプレートやコンテキストデータのコンテキストでは、サードパーティパッケージ（例：`handlebars-helpers`）からのヘルパー登録は避けてください。

Handlebarsjs

• Handlebars 4.0.0 以上 4.7.9 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : JavaScript Injection via AST Type Confusion by tampering @partial-block  Advisory  handlebars-lang/handlebars.js  GitHub

1. 型の取り違え(CWE-843) [その他]
2. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-33938

1. National Vulnerability Database (NVD) : CVE-2026-33938
2. 関連文書 : Release v4.7.9  handlebars-lang/handlebars.js  GitHub
3. 関連文書 : Fix security issues  handlebars-lang/handlebars.js@68d8df5  GitHub

• [2026年04月02日]
    掲載