CVE-2026-41311

Nome do Software Vulnerável e Versões Afetadas LiquidJS versões anteriores a 10.25.7

Descrição Uma referência circular de bloco nos marcadores {% layout %} e {% block %} pode desencadear um loop recursivo infinito. Isso ocorre na função getBlockRender() em src/tags/block.ts durante o modo OUTPUT; quando um bloco é aninhado dentro de outro bloco com o mesmo nome em um modelo filho, o sistema chama repetidamente a função de renderização sem uma condição de término. Esse processo consome toda a memória disponível (aproximadamente 4GB), levando ao travamento do processo Node.js com um erro de falta de memória no heap do JavaScript. Consequentemente, qualquer usuário capaz de enviar um modelo Liquid pode executar um ataque de Negação de Serviço, causando a interrupção completa do serviço.

Recomendações Atualize para a versão 10.25.7.