PT-2021-4725 · Npm · Systeminformation
Sebhildebrandt
·
Publicado
2021-03-15
·
Atualizado
2021-05-05
·
CVE-2021-21388
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do systeminformation anteriores à 5.6.4
Descrição
Foi descoberta uma vulnerabilidade de injeção de comando na biblioteca systeminformation para Node.js. Essa vulnerabilidade está relacionada a erros na passagem de dados para parâmetros de serviços como
si.inetLatency, si.inetChecksite, si.services e si.processLoad. A exploração dessa vulnerabilidade poderia permitir que um invasor remoto executasse código arbitrário. O problema foi corrigido com uma verificação de parâmetros na entrada do usuário.Recomendações
Para versões anteriores à 5.6.4, atualize para a versão >= 5.6.4.
Se não for possível atualizar, verifique ou sanitize os parâmetros de serviço que são passados para funções como
si.inetLatency(), si.inetChecksite(), si.services() e si.processLoad(), permitindo apenas strings e rejeitando quaisquer matrizes.Correção
RCE
Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Systeminformation