在广泛使用的 Node.js 系统信息包中发现了一个严重的命令注入漏洞 (CVE-2024-56334),该信息包的月下载量超过 800 万次,总下载量达到惊人的 3.3 亿次。该漏洞可允许攻击者执行任意操作系统命令,根据软件包的使用情况,有可能导致远程代码执行(RCE)或权限升级。
该漏洞源于获取网络 SSID 信息的 getWindowsIEEE8021x 函数中的命令注入漏洞。该函数在将 SSID 作为参数传递给 cmd.exe 之前,未能对其进行正确的消毒。因此,攻击者可以在 Wi-Fi 网络的 SSID 中嵌入恶意命令,然后在调用 getWindowsIEEE8021x 函数时在易受攻击的系统上执行这些命令。
安全研究人员 xAiluros 发现了 CVE-2024-56334 漏洞,并通过在 Windows 服务中提升权限演示了该漏洞的潜在影响。攻击者可以通过创建一个带有恶意 SSID 的 Wi-Fi 热点来利用这个漏洞。当有漏洞的系统连接到该网络时,攻击者嵌入在 SSID 中的命令就会被执行,从而可能导致远程代码执行或权限升级。
连接到恶意 Wi-Fi 网络后,在使用软件包的应用程序中执行易受攻击的函数,例如:
就能触发攻击,在受害者机器上运行有效载荷。systeminformation “5.23.6(含 5.23.6)以下版本受此漏洞影响。维护者已发布 5.23.7 版,解决了这一问题。强烈建议该软件包的所有用户立即更新到最新版本。
(来自:安全客)
原文始发于微信公众号(天锐数据安全):Node.js 系统信息包中发现了一个严重的命令注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论