protobufjs-cli is the command line add-on for protobuf.js. Prior to 1.2.1 and 2.0.2, pbts invoked JSDoc by building a shell command string from input file paths and executing it through child_process.exec. File paths containing shell metacharacters could therefore be interpreted by the shell instead of being passed to JSDoc as plain arguments. This vulnerability is fixed in 1.2.1 and 2.0.2.
protobufjs-cli versions before 1.2.1 and 2.0.2 contain a command injection vulnerability in the pbts tool where shell metacharacters in file paths are executed instead of being treated as plain arguments. Attackers can exploit this by crafting malicious file paths to execute arbitrary commands with the privileges of the user running pbts.
تحتوي أداة pbts في protobufjs-cli على ثغرة حقن أوامر حيث يتم بناء سلسلة أوامر shell من مسارات الملفات المدخلة وتنفيذها مباشرة دون تنظيف مناسب. يمكن للمهاجمين استخدام أحرف shell خاصة مثل النقاط والفواصل المنقوطة والأنابيب لتنفيذ أوامر تعسفية على النظام.
إصدارات protobufjs-cli السابقة للإصدار 1.2.1 و 2.0.2 تحتوي على ثغرة حقن أوامر في أداة pbts حيث يتم تنفيذ أحرف shell الخاصة في مسارات الملفات بدلاً من معاملتها كمعاملات عادية. يمكن للمهاجمين استغلال هذا بإنشاء مسارات ملفات ضارة لتنفيذ أوامر تعسفية.
Upgrade protobufjs-cli to version 1.2.1 or 2.0.2 or later immediately. Review and validate all file paths passed to pbts tool, sanitize user inputs to remove shell metacharacters, and implement input validation mechanisms. Restrict file access permissions and run pbts with minimal required privileges.
قم بترقية protobufjs-cli إلى الإصدار 1.2.1 أو 2.0.2 أو أحدث فوراً. راجع والتحقق من جميع مسارات الملفات المُمررة لأداة pbts، وقم بتنظيف مدخلات المستخدم لإزالة أحرف shell الخاصة، وتطبيق آليات التحقق من المدخلات. قيّد أذونات الوصول للملفات وقم بتشغيل pbts بأقل الامتيازات المطلوبة.