CVE-2026-26832node-tesseract-ocr是一个用于Node.js的Tesseract OCR封装库。在2.2.1及之前的所有版本中,该组件存在严重的操作系统命令注入漏洞。漏洞产生于src/index.js文件的recognize()函数,由于未对用户输入的文件路径参数进行适当的清理和验证,直接将其拼接到shell命令字符串并传递给child_process.exec()执行,攻击者可利用此漏洞远程执行任意系统代码。
该漏洞属于典型的OS命令注入。在Node.js环境中,child_process.exec函数会启动一个新的shell进程(如/bin/sh)来执行命令。如果开发者将用户可控的输入(如文件路径)直接拼接到命令字符串中,且未经过滤,攻击者可以通过注入特殊字符(如;, &, |, $()等)来终止原始命令并追加执行恶意命令。在本例中,node-tesseract-ocr的recognize()函数接受图像路径作为参数。由于CVSS向量为AV:N/AC:L/PR:N/UI:N,表明攻击者无需认证且无需用户交互即可通过网络发起攻击。攻击者只需构造一个包含恶意Shell指令的文件路径字符串发送给目标应用,即可在服务器上下文中以应用运行权限执行任意系统命令。由于CVSS评分高达9.8,该漏洞极易被利用,可能导致服务器被完全攻陷,数据泄露或勒索软件植入。