8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

Node.js号令注入缝隙（CVE-2021-21315）

颁布功夫 2021-02-25

0x00 缝隙概述

CVE ID	CVE-2021-21315	时间	2021-02-25
类型	号令注入	等级	高危
远程利用	是	影响领域	Systeminformation < 5.3.1

0x01 缝隙详情

Node.js-systeminformation是用于获取各类系统信息的Node.JS模浚�？？？？？�，，，，，，，，它蕴含多种轻量级职能，，，，，，，，能够检索具体的硬件和系统有关信息。。。。。。。自颁布至今，，，，，，，，systeminformation软件包下载次数近3400万。。。。。。。

2021年02月24日，，，，，，，，npm团队颁布安全布告，，，，，，，，Node.js库中的systeminformation软件包中存在一个号令注入缝隙（CVE-2021-21315），，，，，，，，其CVSSv3评分为7.8。。。。。。。攻击者能够通过在未经过滤的参数中注入Payload来执行系统号令。。。。。。。目前该缝隙已经在5.3.1版本中建复，，，，，，，，该版本的建复法式能够正确算帐和验证参数，，，，，，，，如下所示：

0x02 措置建议

目前该缝隙已经建复，，，，，，，，建议将systeminformation实时升级到5.3.1或更高版本。。。。。。。

下载链接：

https://www.npmjs.com/package/systeminformation

缓解措施

若是无法升级，，，，，，，，能够查抄或算帐传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数，，，，，，，，只允许使用string，，，，，，，，回绝任何数组。。。。。。。

0x03 参考链接

https://www.npmjs.com/advisories/1628

https://www.bleepingcomputer.com/news/security/heavily-used-nodejs-package-has-a-code-injection-vulnerability/

https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-2m8v-572m-ff2v

0x04 功夫线

2021-02-24 npm颁布安全布告

2021-02-25 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】