CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26831

Critical
Published: Translated: NVD NIST

Summary

Textract w wersjach do 2.5.0 jest podatny na wstrzyknięcie poleceń systemowych poprzez parametr ścieżki pliku w wielu ekstraktorach. Przy przetwarzaniu plików z złośliwymi nazwami plików, filePath jest przekazywane bezpośrednio do child_process.exec() w lib/extractors/doc.js, rtf.js, dxf.js, images.js i lib/util.js bez odpowiedniej sanitizacji.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do wykonania dowolnych poleceń systemowych na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący może uzyskać pełną kontrolę nad systemem, co może skutkować utratą danych lub naruszeniem poufności.

Recommendation

Zaleca się aktualizację biblioteki textract do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, należy wdrożyć odpowiednie mechanizmy sanitizacji danych wejściowych, aby zminimalizować ryzyko wstrzyknięcia poleceń.

Original NVD description (English source)

textract through 2.5.0 is vulnerable to OS Command Injection via the file path parameter in multiple extractors. When processing files with malicious filenames, the filePath is passed directly to child_process.exec() in lib/extractors/doc.js, rtf.js, dxf.js, images.js, and lib/util.js with inadequate sanitization

Vulnerability data from NVD (NIST) · CISA KEV · EPSS