Plataforma
nodejs
Componente
pdf-image
Corrigido em
2.0.1
A vulnerabilidade CVE-2020-8132 afeta o pacote npm pdf-image, versões até 2.0.0. A falta de validação adequada da entrada permite que um atacante execute código arbitrário no sistema. Essa falha ocorre quando o caminho do arquivo PDF é construído com base em dados fornecidos pelo usuário sem a devida sanitização, abrindo uma brecha para a execução de comandos maliciosos. A correção envolve a atualização para uma versão mais recente do pacote.
Um atacante pode explorar essa vulnerabilidade fornecendo um arquivo PDF malicioso com um caminho manipulado. Ao processar este arquivo, o pdf-image pode executar comandos arbitrários no sistema onde está sendo executado. O impacto é severo, pois permite a tomada de controle completa do sistema, roubo de dados sensíveis, instalação de malware e outras atividades maliciosas. A vulnerabilidade é particularmente perigosa em ambientes de servidor onde o pdf-image é usado para processar arquivos PDF enviados por usuários externos. A ausência de validação de entrada torna o ataque relativamente simples de executar, aumentando o risco de exploração.
A vulnerabilidade CVE-2020-8132 foi divulgada em 2021-05-10. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um PoC público aumenta a probabilidade de exploração, especialmente em ambientes não corrigidos. A pontuação CVSS de 9.8 indica um risco crítico, exigindo atenção imediata.
Applications built with Node.js that utilize the pdf-image package to process PDF files, particularly those that accept PDF files from untrusted sources, are at significant risk. Shared hosting environments where multiple applications share the same Node.js installation are also vulnerable, as a compromise in one application could affect others.
• nodejs / supply-chain:
Get-Process -Name node | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter pdf-image* | Select-Object -ExpandProperty FullName• generic web: Inspect Node.js application logs for unusual file access patterns or errors related to PDF processing. Look for attempts to access files outside of expected directories.
discovery
disclosure
patch
Status do Exploit
EPSS
0.46% (percentil 64%)
Vetor CVSS
A mitigação primária é atualizar o pacote pdf-image para uma versão corrigida que implemente a validação adequada da entrada. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso aos arquivos PDF processados pelo pdf-image, utilizando um servidor proxy para inspecionar o tráfego de arquivos ou implementando regras de firewall para bloquear o acesso não autorizado. Além disso, revise o código para garantir que todas as entradas de usuários sejam devidamente validadas e sanitizadas antes de serem usadas na construção de caminhos de arquivos. Após a atualização, confirme a correção verificando se o processamento de arquivos PDF com caminhos manipulados não resulta mais na execução de código arbitrário.
Atualize o pacote pdf-image para uma versão posterior a 2.0.0. Isso corrigirá a falta de validação de entrada que permite a execução de código arbitrário ao construir o caminho do arquivo PDF com base na entrada do usuário não confiável.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-8132 is a critical vulnerability in the pdf-image npm package (versions <= 2.0.0) that allows an attacker to execute arbitrary code by manipulating PDF file paths.
You are affected if your Node.js application uses the pdf-image package and is running a version 2.0.0 or earlier. Check your project dependencies immediately.
Upgrade to the latest version of the pdf-image package. If upgrading is not possible, implement strict input validation on any user-provided data used to construct file paths.
While no confirmed active exploitation campaigns are publicly known, the critical severity of the vulnerability makes it a high-priority risk and potential target.
Refer to the npm advisory for CVE-2020-8132: https://www.npmjs.com/advisories/1289
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.