CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26833

Critical
Published: Translated: NVD NIST

Summary

thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.

Risk Assessment

Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji thumbler, która poprawia sanitizację danych wejściowych. Dodatkowo, należy unikać łączenia danych użytkownika w poleceniach powłoki bez odpowiednich zabezpieczeń.

Original NVD description (English source)

thumbler through 1.1.2 allows OS command injection via the input, output, time, or size parameter in the thumbnail() function because user input is concatenated into a shell command string passed to child_process.exec() without proper sanitization or escaping.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS