Zebbern

Nome do Software Vulnerável e Versões Afetadas: basic-ftp versões 5.2.0 Descrição: basic-ftp é um cliente FTP para Node.js. Versões anteriores à 5.2.1 são suscetíveis à injeção de comandos FTP devido ao tratamento inadequado de sequências CRLF (r ) dentro de parâmetros de caminho de arquivo usados em APIs de caminho de alto nível como `cd()`, `remove()`, `rename()`, `uploadFrom()`, `downloadTo()`, `list()` e `removeDir()`. A função `protectWhitespace()` não higieniza adequadamente os caminhos, e a função `FtpContext.send()` anexa diretamente r aos comandos, permitindo que caminhos controlados pelo atacante dividam comandos FTP pretendidos. Isso pode levar à exclusão arbitrária de arquivos, manipulação de diretórios, exfiltração de arquivos, potencial execução de comandos do servidor, sequestro de sessão e interrupção do serviço. A vulnerabilidade decorre da interação entre a higienização de caminho insuficiente em `protectWhitespace()` e a gravação direta no socket em `send()`. Os métodos afetados incluem `cd()`, `remove()`, `list()`, `downloadTo()`, `uploadFrom()`, `rename()` e `removeDir()`. Um atacante que controla os parâmetros do caminho do arquivo pode injetar comandos de protocolo FTP arbitrários. Recomendações: Higienize todos os inputs de caminho antes de passá-los para basic-ftp. Rejeite ou remova os caracteres r e de todos os inputs de caminho na função `protectWhitespace()`.

Name of the Vulnerable Software and Affected Versions RedwoodSDK versões 1.0.0-beta.50 até 1.0.5 Description Funções do servidor RedwoodSDK exportadas de arquivos "use server" podiam ser chamadas via requisições GET, ignorando as restrições de método HTTP pretendidas. Em aplicações que utilizam autenticação baseada em cookies, isso permitia que requisições GET cross-site iniciassem modificações de estado, já que os navegadores incluem cookies SameSite=Lax com requisições GET de nível superior. Isso impactou todas as funções do servidor, incluindo os manipuladores `serverAction()` e funções exportadas diretamente dentro de arquivos "use server". Recommendations Atualize para a versão 1.0.6 ou posterior do RedwoodSDK.

**Name of the Vulnerable Software and Affected Versions** pdf-image versions through 2.0.0 **Description** The pdf-image npm package versions through 2.0.0 allows for OS command injection via the `pdfFilePath` parameter. The `constructGetInfoCommand` and `constructConvertCommandForPage` functions utilize `util.format()` to incorporate user-supplied file paths into shell command strings, which are then executed using `child process.exec()`. This allows for remote code execution. **Recommendations** Versions prior to 2.0.1 should be used. As a temporary workaround, avoid using the `pdfFilePath` parameter until a patch is available.

**Name of the Vulnerable Software and Affected Versions** textract versions through 2.5.0 **Description** The software is susceptible to an OS Command Injection issue through the file path parameter in multiple extractors. Processing files with malicious filenames allows the `filePath` to be directly passed to `child process.exec()` in `lib/extractors/doc.js`, `rtf.js`, `dxf.js`, `images.js`, and `lib/util.js` without sufficient sanitization. The vulnerable parameter is `filePath`. The vulnerable function is `child process.exec()`. **Recommendations** Versions prior to 2.5.1 should be updated.

**Name of the Vulnerable Software and Affected Versions** thumbler versions prior to 1.1.3 **Description** The software contains a flaw that allows for the injection of operating system commands. This occurs through the `input`, `output`, `time`, or `size` parameters within the `thumbnail()` function. The issue arises because user-supplied input is directly incorporated into a shell command string passed to `child process.exec()` without adequate sanitization or escaping. This lack of proper handling enables an attacker to execute arbitrary commands on the system. **Recommendations** Update thumbler to version 1.1.3 or later.