首頁 > 安全研究 > 安全通報 > 安全通告

Node.js命令注入漏洞(CVE-2021-21315)

發布時間 2021-02-25

0x00 漏洞概述

CVE  ID

CVE-2021-21315

時   間

2021-02-25

類   型

命令注入

等   級

高危

遠程利用

影響范圍

Systeminformation <   5.3.1

 

0x01 漏洞詳情

image.png

 

Node.js-systeminformation是用于獲取各種系統信息的Node.JS模塊,它包含多種輕量級功能,可以檢索詳細的硬件和系統相關信息。自發布至今,systeminformation軟件包下載次數近3400萬。

2021年02月24日,npm團隊發布安全公告,Node.js庫中的systeminformation軟件包中存在一個命令注入漏洞(CVE-2021-21315),其CVSSv3評分為7.8。攻擊者可以通過在未經過濾的參數中注入Payload來執行系統命令。目前該漏洞已經在5.3.1版本中修復,該版本的修復程序可以正確清理和驗證參數,如下所示:

image.png

 

 

0x02 處置建議

目前該漏洞已經修復,建議將systeminformation及時升級到5.3.1或更高版本。

下載鏈接:

https://www.npmjs.com/package/systeminformation

 

緩解措施

如果無法升級,可以檢查或清理傳遞給si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的參數,只允許使用string,拒絕任何數組。

 

0x03 參考鏈接

https://www.npmjs.com/advisories/1628

https://www.bleepingcomputer.com/news/security/heavily-used-nodejs-package-has-a-code-injection-vulnerability/

https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-2m8v-572m-ff2v

 

0x04 時間線

2021-02-24  npm發布安全公告

2021-02-25  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇