大量使用的Node.js包存在程式碼注入漏洞,請及時更新
近日,有外媒bleepingcomputer稱一個名為“system Information”的輕量級Node.js庫,存在高危命令注入漏洞(CVE-2021-21315)。
該漏洞影響到“system Information”NPM元件,該元件每週下載約80萬次,自開始以來已獲得近3400萬次下載。
據悉,“system Information”是一個輕量級的Node.js庫,開發人員可以將它包含在他們的專案中,以檢索與CPU、硬體、電池、網路、服務和系統程式相關的系統資訊。
這個庫仍在使用中,並用作後端/伺服器端庫(肯定不會在瀏覽器中工作)。
但是,“system Information”中存在程式碼注入缺陷,這意味著攻擊者可以通過在元件使用的未初始化引數中注入有效負載來執行系統命令。
正在使用“system Information”的使用者,建議升級到5.3.1及以上版本,來解決這個漏洞。
對於無法升級到固定版本的開發人員,專案釋出者也提供了相應的解決方法。
npm在安全建議中寫道:“作為替代升級的解決方法,請確保檢查或初始化服務引數有傳遞給si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... 並確保只允許字串,拒絕任何陣列。字串按預期工作。”
我們鼓勵Node.js開發人員在命令和資料庫查詢中使用它之前,確保他們的應用程式對使用者輸入進行適當的審查。
建議開發人員定期訪問NPM獲取Node.js元件的最新安全修補程式資訊。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com
相關文章
- 微軟Exchange高危漏洞曝光,請及時更新!微軟
- 這些華碩路由器存在遠端程式碼執行漏洞,請立即更新韌體路由器
- 程式碼注入漏洞以及修復方法
- 微軟Wind10更新助手存在漏洞:黑客可執行SYSTEM許可權程式碼微軟黑客
- 微軟Wind10更新助手存在漏洞:駭客可執行SYSTEM許可權程式碼微軟
- phpMyAdminsetup.php指令碼的任意PHP程式碼注入漏洞PHP指令碼
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- Chrome 77釋出,修復遠端程式碼執行漏洞!請儘快更新!Chrome
- 使用git將自己的程式碼同時儲存在多個程式碼託管平臺Git
- Node.js Web應用程式碼熱更新Node.jsWeb
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- 程式碼安全測試第十二期:LDAP注入漏洞LDA
- 請注意更新TensorFlow 2.0的舊程式碼
- UIWebView程式碼注入時機與姿勢UIWebView
- MySQL 當記錄不存在時插入,當記錄存在時更新MySql
- 網站漏洞檢測 squid反向代理存在遠端程式碼執行漏洞網站UI
- 程式碼安全測試第六期:XPath注入漏洞
- 深入理解xLua基於IL程式碼注入的熱更新原理
- RCE(遠端程式碼執行漏洞)原理及漏洞利用
- iOS逆向——shell重簽名及程式碼注入iOS
- 程式碼注入
- OGNL設計及使用不當造成的遠端程式碼執行漏洞
- Node.js相關程式碼缺包怎麼辦?Node.js
- node.js [superAgent]請求簡單程式碼例項Node.js
- 程式碼安全測試第五期:OS命令注入漏洞
- /var/spool/clientmqueue/目錄下存在大量檔案的原因及解決方法clientMQ
- 福昕釋出安全更新,PDF軟體存在多個漏洞
- 使用PowerShell更新已存在的組設定物件物件
- jQuery 跨站指令碼漏洞影響大量網站jQuery指令碼網站
- C++ DLL注入和程式碼注入C++
- Apache Solr應用伺服器存在遠端程式碼執行漏洞?ApacheSolr伺服器
- 駭客能篡改WiFi密碼,源於存在漏洞WiFi密碼
- 程式碼注入的三種方法
- Chrome 使用者請儘快更新:谷歌發現兩個嚴重的零日漏洞Chrome谷歌
- 助理君 — 隨時得到程式碼更新提醒
- 使用forever控制node.js指令碼程式Node.js指令碼
- PfSense命令注入漏洞分析
- Node.js 流的使用及實現Node.js