CVE-2026-26280

Nome do Software Vulnerável e Versões Afetadas Versões do systeminformation anteriores a 5.30.8

Descrição O software contém uma vulnerabilidade de injeção de comandos na função wifiNetworks(). Isso permite que um atacante execute comandos arbitrários do sistema operacional por meio de um parâmetro de interface de rede não sanitizado durante um processo de nova tentativa. Especificamente, a função wifiNetworks() sanitiza inicialmente o parâmetro iface, mas uma chamada subsequente de nova tentativa para getWifiNetworkListIw(iface) utiliza o valor original, não sanitizado, do iface. Esse valor não sanitizado é então passado diretamente para o comando execSync('iwlist ${iface} scan'). Qualquer aplicação que forneça entrada controlada pelo usuário para a função si.wifiNetworks() é suscetível a execução de comandos arbitrários com os privilégios do processo Node.js. O código vulnerável está localizado em lib/wifi.js, linhas 440-441.

Recomendações As versões anteriores a 5.30.8 devem ser atualizadas para a versão 5.30.8 ou superior.