CVE-2026-30952

Nome do Software Vulnerável e Versões Afetadas Versões do LiquidJS anteriores à 10.25.0

Descrição As tags layout, render e include estão suscetíveis a acesso arbitrário a arquivos através de caminhos absolutos. Isso pode ocorrer quando os caminhos são fornecidos como literais de string ou através de variáveis Liquid, particularmente quando dynamicPartials: true está habilitado. Isso permite que usuários maliciosos que possam controlar o conteúdo do template ou especificar caminhos de arquivo dentro de variáveis Liquid potencialmente acessem arquivos sensíveis. O problema envolve o uso do módulo fs e sua implementação padrão, que pode ser contornada para acessar arquivos fora da estrutura de diretórios pretendida. A função fs.fallback é um componente chave nesta questão.

Recomendações Atualize para a versão 10.25.0 ou posterior do LiquidJS. Como solução temporária, modifique o arquivo dist/liquid.node.js para incluir verificações adicionais dentro da função fs.fallback para garantir que os caminhos de arquivo estejam contidos dentro dos diretórios permitidos. Sobrescreva a implementação padrão do fs com uma implementação personalizada que restrinja o acesso a arquivos a locais autorizados.