CRITICALCVE-2020-8132CVSS 9.8

不適切な入力検証とコードインジェクションにおける脆弱性 (pdf-image)

プラットフォーム

nodejs

コンポーネント

pdf-image

修正版

2.0.1

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-8132は、pdf-image npmパッケージのバージョン2.0.0以前に存在する入力検証の欠陥です。この脆弱性を悪用されると、攻撃者はPDFファイルパスを操作し、任意のコードを実行する可能性があります。影響を受けるバージョンは2.0.0以前です。最新バージョンへのアップグレードにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がサーバー上で任意のコードを実行することを可能にする重大なセキュリティリスクをもたらします。攻撃者は、悪意のあるPDFファイルをアップロードしたり、既存のPDFファイルを改ざんしたりすることで、システムへのアクセス権を取得し、機密情報を盗み出し、マルウェアをインストールしたり、他のシステムへの攻撃を開始したりする可能性があります。この脆弱性は、特にPDFファイルを処理するアプリケーションやサービスをホストしているシステムにとって深刻な脅威となります。攻撃者は、この脆弱性を利用して、システム全体を制御下に置く可能性があります。

悪用の状況

CVE-2020-8132は、2021年5月10日に公開されました。現在、この脆弱性を悪用する公開されているPoCは確認されていませんが、その深刻度から、将来的に悪用される可能性は高いと考えられます。CISAのKEVリストにはまだ登録されていません。この脆弱性は、Node.js環境でPDFファイルを処理するアプリケーションに影響を与える可能性があります。

リスク対象者翻訳中…

Applications built with Node.js that utilize the pdf-image package to process PDF files, particularly those that accept PDF files from untrusted sources, are at significant risk. Shared hosting environments where multiple applications share the same Node.js installation are also vulnerable, as a compromise in one application could affect others.

検出手順翻訳中…

• nodejs / supply-chain:

Get-Process -Name node | Select-Object -ExpandProperty Path

• nodejs / supply-chain:

Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter pdf-image* | Select-Object -ExpandProperty FullName

• generic web: Inspect Node.js application logs for unusual file access patterns or errors related to PDF processing. Look for attempts to access files outside of expected directories.

攻撃タイムライン

2020-12-17Discovery
discovery
2021-05-10Disclosure
disclosure
2021-05-10Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.46% (64% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpdf-image

ベンダーosv

影響範囲修正版

Not Fixed – Not Fixed—

2.0.02.0.1

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2020-01-28
公開日2021-05-10
更新日2023-11-08
EPSS 更新日2026-04-02

未パッチ — 公開から1840日経過

緩和策と回避策

この脆弱性への最も効果的な対策は、pdf-image npmパッケージをバージョン2.1.0以上にアップグレードすることです。アップグレードがすぐに実行できない場合は、信頼できないソースからのPDFファイルの処理を制限するなどの回避策を講じることができます。また、WAF（Web Application Firewall）を使用して、悪意のあるPDFファイルがサーバーに到達するのを防ぐことも有効です。PDFファイルパスの構築にユーザー入力を直接使用しないように設計を見直すことも重要です。

修正方法

pdf-image パッケージを 2.0.0 より後のバージョンにアップデートしてください。これにより、信頼できないユーザー入力に基づいてPDFファイルのパスを構築する際に任意のコードの実行を可能にする入力検証の欠如が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-8132 — コード実行 in pdf-imageとは何ですか？

CVE-2020-8132は、pdf-image npmパッケージのバージョン2.0.0以前に存在する入力検証の欠陥で、攻撃者が任意のコードを実行できる可能性があります。

CVE-2020-8132 in pdf-imageに影響を受けますか？

pdf-image npmパッケージのバージョン2.0.0以前を使用している場合は、影響を受けます。バージョン2.1.0以上にアップグレードしてください。

CVE-2020-8132 in pdf-imageを修正するにはどうすればよいですか？

pdf-image npmパッケージをバージョン2.1.0以上にアップグレードしてください。

CVE-2020-8132は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、深刻度から将来的に悪用される可能性があります。

CVE-2020-8132のpdf-image公式アドバイザリはどこで入手できますか？

pdf-imageの公式アドバイザリは、https://github.com/pdf-image/pdf-image/issues/38 で確認できます。