点击上方蓝字关注我们
在广泛使用的Node.js包“systeminformation”中发现了一个严重的安全漏洞,可能会使数百万个系统面临远程代码执行 (RCE) 攻击。
该漏洞被确定为 CVE-2024-56334,影响该软件包 5.23.6 及以下的版本,该软件包每月下载量超过 800 万次,总下载量达到惊人的 3.3 亿次。
该漏洞源于 getWindowsIEEE8021x 函数中的命令注入缺陷,该函数可检索网络 SSID 信息。
此函数在讲 SSID 作为参数传递给 cmd.exe 之前无法正确清理 SSID。因此,攻击者可以在 Wi-Fi 网络的 SSID 中嵌入恶意命令,然后在调用 getWindowsIEEE8021x 函数是在易受攻击的系统上执行这些命令。
根据程序包的使用方式,此漏洞可能使攻击者能够执行远程代码执行或本地权限提升。该漏洞利用似乎相对简单,只需要本地访问权限即可解近攻击。
PoC 演示了两种可能的攻击场景:
通过将 SSID 设置为以下方式无限期运行 ping 命令:
a" | ping /t 127.0.0.1 &
a" | %SystemDrive%aa.exe &
一旦连接到恶意构建的 Wi-Fi 网络,只需调用易受攻击的函数(例如 si.networkInterfaces() )即可触发命令的执行。
“systeminformation” 的维护者已在版本 5.23.7 中解决了这个问题。强烈建议此软件包的所有用户立即更新到最新版本。
对于无法升级的开发人员,解决方法包括手动清理传递给特定函数的参数,包括si.inetLatency() 、si.inetChecksite()、
si.services() 和
si.processLoad()。
此漏洞凸显了 npm 生态系统中持续存在的安全挑战以及与广泛使用的软件包相关的潜在风险。它提醒开发人员:
· 定期更新依赖项并监控安全公告
· 实施适当的输入清理,尤其是在处理系统级命令时
· 对项目中使用的第三方软件包进行彻底的安全审计
在“systeminformation”包中发现 CVE-2024-56334 凸显了对软件安全保持警惕的极端重要性,尤其是对于广泛采用的开源库。
随着 Node.js 生态系统的不断发展,开发人员和组织都必须优先考虑安全实践并随时了解可能影响其系统的潜在漏洞。
漏洞信息
Wordpress 知名插件漏洞致百万网站面临接管风险
2024-09-11
全球最大勒索组织 - LockBit 勒索软件开发人员在以色列被捕
2024-12-23
全球供应链安全警钟:七大知名供应链攻击事件回顾
2024-09-25
全球宕机:CrowdStrike事件始末
2024-08-12
喜欢此文的话,可以点赞、转发、在看 一键三连哦!
原文始发于微信公众号(星尘安全):Node.js 严重漏洞使数百万系统面临 RCE 攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论