CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26832

CriticalCVSS 9.8
Published: Updated: Translated: NVD NIST

Summary

node-tesseract-ocr to pakiet npm, który zapewnia interfejs dla Tesseract OCR w Node.js. W wersjach do 2.2.1 funkcja recognize() w pliku src/index.js jest podatna na wstrzyknięcie poleceń systemowych z powodu nieprawidłowej sanitizacji parametru ścieżki pliku.

Risk Assessment

Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.

Recommendation

Zaleca się aktualizację pakietu node-tesseract-ocr do wersji, która naprawia tę podatność. Należy również przeprowadzić przegląd kodu w celu zapewnienia odpowiedniej sanitizacji danych wejściowych.

Original NVD description (English source)

node-tesseract-ocr is an npm package that provides a Node.js wrapper for Tesseract OCR. In all versions through 2.2.1, the recognize() function in src/index.js is vulnerable to OS Command Injection. The file path parameter is concatenated into a shell command string and passed to child_process.exec() without proper sanitization

Vulnerability data from NVD (NIST) · CISA KEV · EPSS