CVE-2026-26833
🔴 Łataj teraz
Wstrzyknięcie poleceń w Thumbler umożliwia wykonanie poleceń systemowych przez nieprawidłowe przetwarzanie danych wejściowych.
CVSS
9.8
EPSS
0.4%
Exploit
poc
Vendor
mmahrous
Opis źródłowy (NVD)
thumbler through 1.1.2 allows OS command injection via the input, output, time, or size parameter in the thumbnail() function because user input is concatenated into a shell command string passed to child_process.exec() without proper sanitization or escaping.
exploit rce
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.4% |
| Opublikowano (NVD) | 2026-03-25 16:16:21 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-30 13:28:03 UTC |
Referencje
- https://github.com/mmahrous/thumbler (cve@mitre.org) [Product]
- https://github.com/mmahrous/thumbler/blob/master/lib/thumbler.js (cve@mitre.org) [Not Applicable]
- https://github.com/zebbernCVE/CVE-2026-26833 (cve@mitre.org) [Vendor Advisory, Exploit]
- https://www.npmjs.com/package/thumbler (cve@mitre.org) [Product]