文章总结： LiquidJS模板引擎曝出CVSS10.0分高危RCE漏洞CVE-2026-45618，攻击者可利用过滤器表达式缺陷获取Function构造函数引用执行任意系统命令，影响≤10.25.7版本。用户须立即升级至10.27.0+并重启服务。 综合评分： 88 文章分类： 漏洞预警,Web安全,应用安全,应急响应,安全运营

Liquidjs 曝 RCE 漏洞，730万月下载用户面临系统接管风险

看雪学苑 看雪学苑

看雪学苑

2026年6月1日 17:59 上海

在小说阅读器读本章

去阅读

漏洞速览：一场波及百万级项目的安全风暴

近日，安全研究人员披露了一个影响Liquidjs 模板引擎的最高危远程代码执行漏洞（RCE）。该漏洞编号为CVE-2026-45618，CVSS 风险评分高达 10.0（满分），意味着攻击者可极其轻松地完全控制受影响的服务器。

Liquidjs 是 JavaScript 开发者将 Shopify、Jekyll 或 GitHub Pages 模板迁移至 Node.js 环境的核心工具，每月下载量超过 730 万次，其下游项目数量极为庞大。一旦被利用，攻击面将覆盖大量 Web 应用、自动化构建服务和内容管理系统。

🔍 漏洞原理：一个小小过滤器如何引发“核爆”

该漏洞的根源在于 Liquidjs 在处理过滤器表达式时存在输入验证缺陷。具体来说，引擎错误地执行了 valueOf 过滤器表达式，意外返回了内部执行上下文。

🧩关键点：攻击者可借此调用恶意函数，并完全控制函数参数。

通过构造特定的模板输入，攻击者能够覆盖引擎的关键内部属性，例如：

• this.loader.lookup
• this.readFile

一旦这些查找函数被篡改，解析组件所读取的所有数据都将被攻击者操控。最终，攻击者可以直接获取 JavaScript 原生的 Function 构造函数引用，从而在主机上执行任意系统命令。

后果有多严重？读取 /etc/passwd 仅需几秒

概念验证测试显示，利用该漏洞，攻击者可以轻松实现：

• 读取服务器上的任意敏感文件（如 /etc/passwd）
• 执行任意系统命令，安装勒索软件、植入后门或横向渗透内网
• 完全接管宿主服务器，导致业务中断、数据泄露

🚨 一句话总结：只要你的项目使用了 Liquidjs 且版本未修复，攻击者就能像管理员一样操作你的服务器。

🛡️ 应急行动：立即检查并升级！

好消息是，Liquidjs 维护团队已经发布了安全修复版本。

所有开发者及运维人员必须立即行动：

第一步：确认受影响版本

• 漏洞影响范围：Liquidjs 版本 ≤ 10.25.7

• 如果你的 package.json 或 lock 文件中显示上述版本，则处于高风险状态。

第二步：升级至安全版本

运行以下命令，更新到已修复版本 10.27.0 或更高：

bashnpm install [email protected]

或使用 yarn：

bashyarn add [email protected]

✅ 第三步：重启并验证

升级后务必重启相关服务，并执行简单的模板渲染测试，确认无兼容性问题。

安全建议（开发团队必看）

立即扫描：检查所有 Node.js 项目是否引用了 Liquidjs 脆弱版本。

阻断攻击路径：如无法立即升级，可考虑临时限制用户提交的模板内容（但建议直接升级）。

持续关注：关注 Liquidjs 官方 GitHub 仓库及 CVE 数据库，获取后续安全更新。

资讯来源：基于安全研究机构公开披露的 CVE-2026-45618 漏洞通告及 Liquidjs 官方安全公告编译整理。

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《Liquidjs 曝 RCE 漏洞，730万月下载用户面临系统接管风险》