CVE-2020-28494

**Nome do software vulnerável e versões afetadas:

versões do total.js anteriores à 3.4.7

Descrição:

O problema ocorre nas funções image.pipe e image.stream devido ao parâmetro type ser usado para construir um comando que é executado usando child process.spawn com a opção shell definida como true, e porque o parâmetro type não é devidamente sanitizado. Isso leva a uma vulnerabilidade de injeção de comando.

Recomendações:

Para versões anteriores à 3.4.7, atualize para a versão 3.4.7 ou posterior para resolver o problema. Como solução temporária, considere desativar as funções image.pipe e image.stream até que um patch esteja disponível. Restrinja o acesso a essas funções para minimizar o risco de exploração. Evite usar o parâmetro type nas funções afetadas até que o problema seja resolvido.