CVE-2025-55294
CriticalSummary
Podatność w screenshot-desktop umożliwia wykonanie zrzutu ekranu lokalnej maszyny, jednak występuje problem z wstrzykiwaniem poleceń. Wprowadzone przez użytkownika dane w opcji formatu funkcji zrzutu ekranu są interpolowane do polecenia powłoki bez odpowiedniego oczyszczenia, co prowadzi do wykonania dowolnych poleceń z uprawnieniami procesu wywołującego.
Risk Assessment
Organizacja jest narażona na ryzyko wykonania nieautoryzowanych poleceń, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do wersji 1.15.2, w której ta podatność została naprawiona. Dodatkowo, warto wprowadzić mechanizmy ograniczające wprowadzanie danych przez użytkowników w krytycznych funkcjach.
Original NVD description (English source)
screenshot-desktop allows capturing a screenshot of your local machine. This vulnerability is a command injection issue. When user-controlled input is passed into the format option of the screenshot function, it is interpolated into a shell command without sanitization. This results in arbitrary command execution with the privileges of the calling process. This vulnerability is fixed in 1.15.2.

