CVE-2026-45357

Nome do Software Vulnerável e Versões Afetadas LiquidJS versões anteriores a 10.26.0

Descrição Existe um problema na implementação strftime do filtro date onde especificadores de largura, como %9999999d, são analisados e passados sem verificação para as funções pad() e padStart(). No arquivo src/util/underscore.ts, a função pad() realiza a concatenação de strings de forma ilimitada sem verificar o memoryLimit ou renderLimit do Contexto. Isso permite que um template pequeno gere megabytes de saída e consuma recursos excessivos de CPU, ignorando efetivamente os controles de Negação de Serviço (DoS) documentados. A exploração pode levar a grandes alocações de memória, alto uso de CPU ou falhas de Out-of-Memory (OOM). O risco é particularmente alto quando um valor de contexto, que pode ser controlado por um invasor, é usado como o formato da data.

Recomendações Atualize para a versão 10.26.0. Como medida paliativa temporária, evite usar valores de contexto controlados por usuários como argumento de formato no filtro date.