GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Node.js号令注入缝隙（CVE-2021-21315）

颁布功夫 2021-02-25

0x00 缝隙概述

CVE ID	CVE-2021-21315	时间	2021-02-25
类型	号令注入	等级	高危
远程利用	是	影响领域	Systeminformation < 5.3.1

0x01 缝隙详情

Node.js-systeminformation是用于获取各类系统信息的Node.JS�？�，它蕴含多种轻量级职能，能够检索具体的硬件和系统有关信息。自颁布至今，systeminformation软件包下载次数近3400万。

2021年02月24日，npm团队颁布安全布告，Node.js库中的systeminformation软件包中存在一个号令注入缝隙（CVE-2021-21315），其CVSSv3评分为7.8。攻击者能够通过在未经过滤的参数中注入Payload来执行系统号令。目前该缝隙已经在5.3.1版本中建复，该版本的建复法式能够正确算帐和验证参数，如下所示：

0x02 措置建议

目前该缝隙已经建复，建议将systeminformation实时升级到5.3.1或更高版本。

下载链接：

https://www.npmjs.com/package/systeminformation

缓解措施

若是无法升级，能够查抄或算帐传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数，只允许使用string，回绝任何数组。

0x03 参考链接

https://www.npmjs.com/advisories/1628

https://www.bleepingcomputer.com/news/security/heavily-used-nodejs-package-has-a-code-injection-vulnerability/

https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-2m8v-572m-ff2v

0x04 功夫线

2021-02-24 npm颁布安全布告

2021-02-25 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】