CVE-2026-26830: Kritische Befehlseinschleusung in PDF-Verarbeitungs-Bibliothek
⚠️ CVE-Referenzen:
CVE-2026-26830
Zusammenfassung
Die Schwachstelle CVE-2026-26830 mit einem Schweregrad von 9.8 ermöglicht Angreifern die Ausführung beliebiger Systemkommandos über die pdf-image-Bibliothek in Node.js. Durch unsachgemäße Eingabevalidierung können Dateipfade in Shell-Befehle injiziert werden, die dann mit erhöhten Rechten ausgeführt werden. Betroffen sind alle Versionen bis einschließlich 2.0.0. Entwickler sollten umgehend auf eine aktualisierte Version migrieren, um ihre Systeme vor Kompromittierung zu schützen.
pdf-image (npm package) through version 2.0.0 allows OS command injection via the pdfFilePath parameter. The constructGetInfoCommand and constructConvertCommandForPage functions use util.format() to interpolate user-controlled file paths into shell command strings that are executed via child_process.exec()
Quelle: app.opencve.io