CVE-2026-33937 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Handlebars 模板引擎编译函数处理数字字面量不当。 💥 **后果**：攻击者可注入并执行**任意 JavaScript 代码**，导致**服务器端远程代码执行 (RCE)**。

🔍 **CWE**：CWE-843 (访问控制不当)。 📍 **缺陷点**：`Handlebars.compile` 函数对 **NumberLiteral AST 节点** 的 `value` 字段处理逻辑存在漏洞。

📦 **组件**：handlebars.js。 🏢 **厂商**：handlebars-lang。 📉 **受影响版本**：**4.7.8 及之前版本**。

👑 **权限**：获得服务器最高控制权。 📂 **数据**：可读取/篡改任意数据。 ⚡ **能力**：执行任意系统命令，完全接管服务器。

📶 **网络**：AV:N (网络可攻击)。 🔑 **认证**：PR:N (无需认证)。 🧠 **交互**：UI:N (无需用户交互)。 🎯 **结论**：**极低门槛**，远程直接利用。

📜 **PoC**：数据中未提供现成 Exploit 链接。 🌍 **在野**：无公开在野利用报告。 ⚠️ **注意**：虽无公开 PoC，但 CVSS 评分极高，利用逻辑清晰，风险极大。

🔎 **自查**：检查项目中 `package.json` 或依赖树。 📋 **特征**：确认 `handlebars` 版本是否 **≤ 4.7.8**。 🛠️ **工具**：使用 SCA 工具扫描依赖漏洞。

✅ **已修复**：官方已发布补丁。 🔗 **修复版本**：**v4.7.9**。 📝 **参考**：GitHub Release v4.7.9 及 Security Advisory GHSA-2w6w-674q-4c4q。

🛡️ **临时规避**：若无法立即升级，建议**禁用模板中的动态编译功能**。 🚫 **限制**：严格限制输入到 `Handlebars.compile` 的内容，避免不可信数据进入。

🔥 **优先级**：**P0 (紧急)**。 📊 **CVSS**：9.8 (Critical)。 💡 **建议**：**立即升级**至 v4.7.9 或更高版本，防止服务器被远程接管。