pdf-image (пакет npm) до версии 2.0.0 позволяет внедрять команды ОС через параметр pdfFilePath. ФункцииstructGetInfoCommand иstructConvertCommandForPage используют util.format() для интерполяции управляемых пользователем путей к файлам в строки команд оболочки, которые выполняются через child_process.exec().
Показать оригинальное описание (EN)
pdf-image (npm package) through version 2.0.0 allows OS command injection via the pdfFilePath parameter. The constructGetInfoCommand and constructConvertCommandForPage functions use util.format() to interpolate user-controlled file paths into shell command strings that are executed via child_process.exec()
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1