CVE-2026-26833
CriticalSummary
thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.
Risk Assessment
Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację do najnowszej wersji thumbler, która poprawia sanitizację danych wejściowych. Dodatkowo, należy unikać łączenia danych użytkownika w poleceniach powłoki bez odpowiednich zabezpieczeń.
Original NVD description (English source)
thumbler through 1.1.2 allows OS command injection via the input, output, time, or size parameter in the thumbnail() function because user input is concatenated into a shell command string passed to child_process.exec() without proper sanitization or escaping.

