近日,有外媒bleepingcomputer稱一個名為“system Information”的輕量級Node.js庫,存在高危命令注入漏洞(CVE-2021-21315)。
該漏洞影響到“system Information”NPM元件,該元件每週下載約80萬次,自開始以來已獲得近3400萬次下載。
據悉,“system Information”是一個輕量級的Node.js庫,開發人員可以將它包含在他們的專案中,以檢索與CPU、硬體、電池、網路、服務和系統程式相關的系統資訊。
這個庫仍在使用中,並用作後端/伺服器端庫(肯定不會在瀏覽器中工作)。
但是,“system Information”中存在程式碼注入缺陷,這意味著攻擊者可以透過在元件使用的未初始化引數中注入有效負載來執行系統命令。
正在使用“system Information”的使用者,建議升級到5.3.1及以上版本,來解決這個漏洞。
對於無法升級到固定版本的開發人員,專案釋出者也提供了相應的解決方法。
npm在安全建議中寫道:“作為替代升級的解決方法,請確保檢查或初始化服務引數有傳遞給si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... 並確保只允許字串,拒絕任何陣列。字串按預期工作。”
我們鼓勵Node.js開發人員在命令和資料庫查詢中使用它之前,確保他們的應用程式對使用者輸入進行適當的審查。
建議開發人員定期訪問NPM獲取Node.js元件的最新安全修補程式資訊。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com