В Банк данных угроз безопасности информации (БДУ) ФСТЭК России была зарегистрирована новая уязвимость с идентификатором BDU:2026-09393 (CVE-2026-33937). Она затрагивает популярную библиотеку для создания HTML-шаблонов Handlebars, а также целый ряд операционных систем и прикладного программного обеспечения на базе Red Hat Enterprise Linux и российского средства виртуализации "Брест". Уровень опасности оценён как критический - базовый показатель CVSS 3.1 достигает 9,8 балла из десяти возможных.
Детали уязвимости
Уязвимость связана с функцией Handlebars.compile() - это основной механизм, который преобразует шаблоны в исполняемые функции. Разработчики допустили ошибку в управлении генерацией кода. Злоумышленник может удалённо отправить специально сформированный запрос и выполнить произвольные действия на сервере. Согласно классификатору CWE, речь идёт о внедрении кода (CWE-94) и доступе к ресурсу через несовместимые типы данных (CWE-843).
Последствия эксплуатации могут быть самыми серьёзными. Вектор CVSS 2.0 показывает, что атака не требует аутентификации, выполняется по сети и не нуждается во взаимодействии с пользователем. При этом нарушитель получает полный контроль над конфиденциальностью, целостностью и доступностью системы. Иными словами, он может украсть данные, изменить их или полностью вывести сервер из строя. Хотя в кратком описании упоминается лишь отказ в обслуживании, на практике атака способна привести к гораздо более масштабному компрометации.
Под ударом оказались все версии библиотеки Handlebars от 4.0.0 до 4.7.9 включительно. Разработчик Yehuda Katz уже выпустил исправление в версии 4.7.9. Однако проблема не ограничивается самим шаблонизатором. Уязвимость затрагивает и продукты корпорации Red Hat: операционные системы Red Hat Enterprise Linux версий 8, 9 и 10, а также компонент Logging subsystem для платформы Red Hat OpenShift и среду разработки Red Hat OpenShift Dev Spaces версии 3.27. Компания подтвердила наличие бреши и опубликовала ссылки на свои бюллетени безопасности.
Особого внимания заслуживает ситуация с российским программным комплексом средств виртуализации "Брест" от компании "РусБИТех-Астра". В данном продукте уязвимость присутствует во всех версиях до 4.0.2 включительно. Производитель уже подготовил обновление, которое доступно в личном кабинете пользователя на портале lk.astralinux.ru. Там же приведены подробные инструкции по установке.
Стоит отметить, что на момент регистрации уязвимости в открытом доступе уже существует готовый эксплойт. Это означает, что любой, даже не слишком опытный злоумышленник может воспользоваться опубликованным кодом для проведения атаки. Поэтому затягивать с установкой исправлений крайне опасно.
Сама по себе уязвимость Handlebars не является чем-то новым по механике - похожие ошибки в шаблонизаторах возникали и раньше. Например, в 2021 году аналогичная проблема была найдена в библиотеках Pug и Nunjucks. Но в данном случае тревогу вызывает широта охвата: Handlebars используется в тысячах веб-приложений, а сочетание с системными компонентами Red Hat делает уязвимость особенно опасной для корпоративного сектора.
Специалистам по информационной безопасности стоит немедленно проверить, используются ли в их инфраструктуре перечисленные версии продуктов. Особое внимание следует уделить средам, где Handlebars применяется для генерации пользовательского контента на серверной стороне - например, в интерфейсах управления или панелях мониторинга. В таких случаях злоумышленник может внедрить вредоносный код через обычную HTML-форму. Дополнительно рекомендуется ограничить сетевой доступ к компонентам, работающим с шаблонами, если это возможно. Использование межсетевых экранов и систем обнаружения вторжений (IDS) может помочь выявить попытки эксплуатации, но полностью полагаться на них не стоит.
Таким образом, BDU:2026-09393 представляет собой ещё один пример того, как одна ошибка в популярной библиотеке может поставить под угрозу целые экосистемы. Игнорировать эту угрозу нельзя - патчи уже выпущены, и промедление может стоить компании данных или даже остановки бизнес-процессов.
Ссылки
- https://bdu.fstec.ru/vul/2026-09393
- https://www.cve.org/CVERecord?id=CVE-2026-33937
- https://github.com/handlebars-lang/handlebars.js/commit/68d8df5a88e0a26fe9e6084c5c6aaebe67b07da2
- https://github.com/handlebars-lang/handlebars.js/releases/tag/v4.7.9
- https://github.com/handlebars-lang/handlebars.js/security/advisories/GHSA-2w6w-674q-4c4q
- https://access.redhat.com/security/cve/cve-2026-33937