Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Handlebars は、ユーザーがセマンティックテンプレートを構築するために必要な能力を提供します。バージョン 4.0.0 から 4.7.8では、Handlebars ランタイムの「resolvePartial()」は、プロトタイプチェーントラバーサルに対する保護なしで、「options.partials」のプレーンプロパティ検索を介して部分的な名前を解決します。「Object.prototype」が、テンプレートの部分的な参照と一致するキーを持つ文字列値で汚染されると、汚染された文字列は部分的な本文として使用され、HTML エスケープなしでレンダリングされ、反映または蓄積型 XSS を引き起こします。バージョン 4.7.9 ではこの問題が修正されています。いくつかの回避策が利用可能です。プロトタイプ汚染を防ぐため、アプリケーション起動の早い段階で「Object.freeze(Object.prototype)」を適用してください。注これにより、他のライブラリを破損したり、Handlebars ランタイムのみのビルド「handlebars/runtime」が使用されたりする可能性があります。これにより、テンプレートをコンパイルせず、アタックサーフェスを減らします。CVE-2026-33916

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33916

medium Nessus プラグイン ID 304162

バージョン 1.2