Versões do priest-runner (versões afetadas não especificadas)

A vulnerabilidade diz respeito a um problema de injeção de comando em que a entrada não é devidamente sanitizada e é passada diretamente para uma chamada spawn, permitindo potencialmente que invasores executem código arbitrário no sistema. A função PriestController.prototype.createChild é especificamente vulnerável porque os parâmetros da chamada spawn são derivados do corpo de uma solicitação POST.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.