Katalog CVE

CVE-2026-26833

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych, co może prowadzić do przejęcia kontroli nad systemem. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji thumbler, która poprawia sanitizację danych wejściowych. Dodatkowo, należy unikać łączenia danych użytkownika w poleceniach powłoki bez odpowiednich zabezpieczeń.

Oryginalny opis (angielski, źródło NVD)

thumbler through 1.1.2 allows OS command injection via the input, output, time, or size parameter in the thumbnail() function because user input is concatenated into a shell command string passed to child_process.exec() without proper sanitization or escaping.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS