CVE-2026-26830
CriticalSummary
Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().
Risk Assessment
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego wykonania poleceń systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Atakujący może uzyskać dostęp do wrażliwych danych lub przejąć kontrolę nad systemem.
Recommendation
Zaleca się aktualizację pakietu pdf-image do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt kodu w celu zidentyfikowania i zabezpieczenia innych potencjalnych miejsc narażonych na wstrzyknięcia poleceń.
Original NVD description (English source)
pdf-image (npm package) through version 2.0.0 allows OS command injection via the pdfFilePath parameter. The constructGetInfoCommand and constructConvertCommandForPage functions use util.format() to interpolate user-controlled file paths into shell command strings that are executed via child_process.exec()

