Sebhildebrandt

**Name of the Vulnerable Software and Affected Versions** systeminformation versions 5.0.0 through 5.21.6 **Description** The systeminformation library for Node.JS has a SSID Command Injection Vulnerability. This issue affects versions 5.0.0 through 5.21.6. The problem was fixed with a parameter check in version 5.21.7. The vulnerability can be exploited through the `wifiConnections()` and `wifiNetworks()` functions, specifically when passing string parameters. It is estimated that the library has 8 monthly downloads, potentially affecting a significant number of devices. **Recommendations** For versions 5.0.0 through 5.21.6, upgrade to version 5.21.7 or later to resolve the issue. As a temporary workaround for versions 5.0.0 through 5.21.6, check or sanitize parameter strings that are passed to `wifiConnections()` and `wifiNetworks()` (string only).

**Nome do software vulnerável e versões afetadas** Versões do systeminformation anteriores à 5.6.4 **Descrição** Foi descoberta uma vulnerabilidade de injeção de comando na biblioteca systeminformation para Node.js. Essa vulnerabilidade está relacionada a erros na passagem de dados para parâmetros de serviços como `si.inetLatency`, `si.inetChecksite`, `si.services` e `si.processLoad`. A exploração dessa vulnerabilidade poderia permitir que um invasor remoto executasse código arbitrário. O problema foi corrigido com uma verificação de parâmetros na entrada do usuário. **Recomendações** Para versões anteriores à 5.6.4, atualize para a versão >= 5.6.4. Se não for possível atualizar, verifique ou sanitize os parâmetros de serviço que são passados para funções como `si.inetLatency()`, `si.inetChecksite()`, `si.services()` e `si.processLoad()`, permitindo apenas strings e rejeitando quaisquer matrizes.

**Nome do software vulnerável e versões afetadas** Versões do systeminformation anteriores à 4.31.1 **Descrição** O problema é uma vulnerabilidade de injeção de comando. Ela foi corrigida por meio de uma correção de sanitização de strings de shell. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 4.31.1, atualize para a versão 4.31.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere verificar ou sanitizar as strings de parâmetros de serviço que são passadas para `si.inetLatency()`.

**Nome do software vulnerável e versões afetadas** Versões do systeminformation anteriores à 4.30.5 **Descrição** O problema é uma vulnerabilidade de injeção de comando causada por poluição de protótipos. Ela foi corrigida com uma reescrita das sanitizações do shell para evitar problemas de poluição de protótipos. **Recomendações** Para versões anteriores à 4.30.5, atualize para a versão 4.30.5 ou posterior. Se não for possível atualizar, certifique-se de verificar ou sanitizar as cadeias de caracteres dos parâmetros de serviço que são passadas para `si.inetChecksite()`.

**Nome do software vulnerável e versões afetadas** Versões do systeminformation anteriores à 4.26.2 **Descrição** O problema é uma vulnerabilidade de injeção de comando. Ela foi corrigida com uma correção de sanitização de strings de shell. **Recomendações** Para versões anteriores à 4.26.2, atualize para a versão 4.26.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere verificar ou sanitizar as strings de parâmetros de serviço que são passadas para `is.services()`, `is.inetChecksite()`, `si.inetLatency()`, `si.networkStats()`, `is.services()` e `si.processLoad()`.