CVE-2026-26830 — 神龙十问 AI 深度分析摘要

🚨 **本质**：`pdf-image` 库在处理 `pdfFilePath` 参数时未做验证。 💥 **后果**：攻击者可触发 **OS 命令注入**，直接控制服务器底层。

🛡️ **缺陷点**：输入验证缺失。 📉 **CWE**：数据中未明确指定，但属于典型的 **命令注入** 类缺陷。

📦 **组件**：`pdf-image` (Node.js 工具)。 📅 **版本**：**2.0.0 及之前版本** 均受影响。

👑 **权限**：CVSS 评分极高 (H/H/H)。 📂 **数据**：可完全读取、修改数据，甚至 **接管系统** (Full Control)。

⚡ **门槛**：**极低**。 🔓 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络即可利用 (AV:N)。

🔍 **现状**：数据中 **PoCs 为空**。 🚫 **利用**：暂无公开在野利用报告，但利用逻辑简单，风险极高。

🔎 **自查**：检查 Node.js 项目中是否依赖 `pdf-image`。 📋 **版本**：确认版本号是否 **≤ 2.0.0**。

🛠️ **修复**：数据中未提供具体补丁链接。 📢 **建议**：参考 GitHub 仓库或 NPM 页面，升级至 **修复后的最新版本**。

🚧 **规避**：若无法升级，**严禁** 将不可信的 PDF 路径传入该函数。 🚫 **隔离**：限制运行该代码的服务权限，最小化危害。

🔥 **优先级**：**紧急 (Critical)**。 ⚠️ **理由**：CVSS 满分风险，无需权限即可远程执行命令，必须立即处理。