Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Handlebars 提供必要的功能让用户构建语义模板。在 4.0.0 到 4.7.8版中Handlebars CLI 预编译器 (`bin/handlebars` / `lib/precompiler.js`) 将用户控制的字符串模板文件名和多个 CLI 选项直接连接成其发出的 JavaScript 而不会进行任何转义或解析审查。能够影响模板文件名或 CLI 参数的攻击者可能会注入在 Node.js 或浏览器中加载生成的捆绑包时执行的任意 JavaScript。
    版本 4.7.9 修复了该问题。但有一些变通方案。首先，在调用预编译器之前验证所有 CLI 输入。拒绝包含具有 JavaScript 字符串转义意义的字符（“、”、“;”等的文件名和选项值）。第二，使用通过配置文件传递的固定且受信任的命名空间字符串，而不是自动化管道中的命令行参数。第三，在沙盒环境（对敏感路径没有写入访问权限的容器）中运行预编译器，以限制成功利用的影响。第四，审计自动化构建管道使用的任何存储库或程序包中的模板文件名。 (CVE-2026-33941)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-33941

high Nessus 插件 ID 304160

版本 1.4