Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Handlebars 提供了让用户构建语义模板所需的强大功能。在之后的4.7.8版本4.0.0中，Handlebars CLI 预编译器（“bin/handlebars”/“lib/precompiler.js”）将用户控制的字符串模板文件名和多个 CLI 选项直接串联到它发出的 JavaScript 中，无需任何转义或审查。能够影响模板文件名或 CLI 参数的攻击者可注入任意 JavaScript，该 JavaScript 会在将生成的捆绑包加载到 Node.js 或浏览器中时执行。
    版本 4.7.9 修复了该问题。但有一些变通方案。首先，在调用预编译器之前验证所有 CLI 输入。拒绝包含具有 JavaScript 字符串转义意义的字符（''、'''、';' 等）的文件名和选项值。其次，使用通过配置文件传递的固定的、受信任的命名空间字符串，而不是自动化管道中的命令行参数。第三，在沙盒环境（没有敏感路径写入权限的容器）中运行预编译器，以限制成功利用的影响。第四，审核自动生成管道使用的任何存储库或程序包中的模板文件名。（CVE-2026-33941）

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-33941

high Nessus 插件 ID 304160

版本 1.10