Plateforme
nodejs
Composant
pdf-image
Corrigé dans
2.0.1
La vulnérabilité CVE-2020-8132 concerne une faille d'injection de code dans le paquet npm pdf-image jusqu'à la version 2.0.0. Cette faille permet à un attaquant d'exécuter du code arbitraire en manipulant les chemins de fichiers PDF utilisés par le paquet. L'impact est critique, car elle peut conduire à la prise de contrôle complète du système. Une mise à jour vers une version corrigée est recommandée.
L'exploitation de cette vulnérabilité permet à un attaquant d'injecter du code malveillant dans des fichiers PDF, qui sera ensuite exécuté par l'application utilisant le paquet pdf-image. Cela peut se faire en fournissant un chemin de fichier PDF malformé, basé sur des données contrôlées par l'attaquant. Le code injecté peut être utilisé pour voler des données sensibles, installer des logiciels malveillants, ou prendre le contrôle du système. Le risque est particulièrement élevé dans les environnements où le paquet pdf-image est utilisé pour traiter des fichiers PDF provenant de sources non fiables. Cette vulnérabilité présente des similitudes avec d'autres failles d'injection de code, où la manipulation des entrées peut conduire à l'exécution de commandes arbitraires.
Cette vulnérabilité a été publiée le 10 mai 2021. Bien qu'il n'y ait pas de preuve d'exploitation active à grande échelle, la gravité critique de la vulnérabilité et la large utilisation du paquet pdf-image en font une cible potentielle pour les attaquants. Il n'est pas listé sur le KEV à ce jour. Des preuves de concept publiques sont disponibles, ce qui facilite l'exploitation par des acteurs malveillants.
Applications built with Node.js that utilize the pdf-image package to process PDF files, particularly those that accept PDF files from untrusted sources, are at significant risk. Shared hosting environments where multiple applications share the same Node.js installation are also vulnerable, as a compromise in one application could affect others.
• nodejs / supply-chain:
Get-Process -Name node | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter pdf-image* | Select-Object -ExpandProperty FullName• generic web: Inspect Node.js application logs for unusual file access patterns or errors related to PDF processing. Look for attempts to access files outside of expected directories.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
0.46% (percentile 64%)
Vecteur CVSS
La mesure d'atténuation principale est de mettre à jour le paquet pdf-image vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le traitement des fichiers PDF provenant de sources non fiables. Une autre option consiste à valider rigoureusement les chemins de fichiers PDF avant de les utiliser avec le paquet pdf-image, en s'assurant qu'ils ne contiennent pas de caractères spéciaux ou de commandes malveillantes. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des chemins de fichiers PDF suspects. Après la mise à jour, vérifiez que le paquet est correctement mis à jour en utilisant npm list pdf-image.
Mettez à jour le paquet pdf-image à une version supérieure à 2.0.0. Cela corrigera le manque de validation des entrées qui permet l'exécution de code arbitraire lors de la construction du chemin du fichier PDF à partir d'entrées utilisateur non fiables.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-8132 is a critical vulnerability in the pdf-image npm package (versions <= 2.0.0) that allows an attacker to execute arbitrary code by manipulating PDF file paths.
You are affected if your Node.js application uses the pdf-image package and is running a version 2.0.0 or earlier. Check your project dependencies immediately.
Upgrade to the latest version of the pdf-image package. If upgrading is not possible, implement strict input validation on any user-provided data used to construct file paths.
While no confirmed active exploitation campaigns are publicly known, the critical severity of the vulnerability makes it a high-priority risk and potential target.
Refer to the npm advisory for CVE-2020-8132: https://www.npmjs.com/advisories/1289
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.