Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Handlebars は、ユーザーがセマンティックテンプレートを構築するために必要な能力を提供します。バージョン 4.0.0 から 4.7.8では、「@partial-block」特殊変数がテンプレートデータコンテキストに保存され、任意のオブジェクトを受け入れるヘルパーを介してテンプレート内から到達可能および変更可能です。ヘルパーが細工されたHandlebars ASTで「@partial-block」を上書きすると、それに続く「{{> @partial-block}}」の呼び出しでASTがコンパイルされて実行され、サーバー上で任意のJavaScriptが実行される可能性があります。バージョン 4.7.9 ではこの問題が修正されています。いくつかの回避策が利用可能です。まず、runtime-only ビルドを使用します`require('handlebars/runtime')`。「compile()」メソッドが存在せず、脆弱なフォールバックパスが排除されます。次に、コンテキストオブジェクトに任意の値を書き込むものに対して、登録されたヘルパーを監査します。ヘルパーはコンテキストデータを読み取り専用として扱う必要があります。3 番目に、テンプレートまたはコンテキストデータが信頼できない入力の影響を受ける可能性があるコンテキストで、サードパーティパッケージ「handlebars-helpers」などからヘルパーを登録するのを回避します。
    (CVE-2026-33938)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33938

high Nessus プラグイン ID 304161

バージョン 1.3