鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Node.js下令注入误差（CVE-2021-21315）

宣布时间 2021-02-25

0x00 误差概述

CVE ID	CVE-2021-21315	时间	2021-02-25
类型	下令注入	等级	高危
远程使用	是	影响规模	Systeminformation < 5.3.1

0x01 误差详情

Node.js-systeminformation是用于获取种种系统信息的Node.JS�？？？？？？？�，，，，它包括多种轻量级功效，，，，可以检索详细的硬件和系统相关信息。。。。。。自宣布至今，，，，systeminformation软件包下载次数近3400万。。。。。。

2021年02月24日，，，，npm团队宣布清静通告，，，，Node.js库中的systeminformation软件包中保存一个下令注入误差（CVE-2021-21315），，，，其CVSSv3评分为7.8。。。。。。攻击者可以通过在未经由滤的参数中注入Payload来执行系统下令。。。。。。现在该误差已经在5.3.1版本中修复，，，，该版本的修复程序可以准确整理和验证参数，，，，如下所示：

0x02 处置惩罚建议

现在该误差已经修复，，，，建议将systeminformation实时升级到5.3.1或更高版本。。。。。。

下载链接：

https://www.npmjs.com/package/systeminformation

缓解步伐

若是无法升级，，，，可以检查或整理转达给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数，，，，只允许使用string，，，，拒绝任何数组。。。。。。

0x03 参考链接

https://www.npmjs.com/advisories/1628

https://www.bleepingcomputer.com/news/security/heavily-used-nodejs-package-has-a-code-injection-vulnerability/

https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-2m8v-572m-ff2v

0x04 时间线

2021-02-24 npm宣布清静通告

2021-02-25 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】