CVE-2026-44724

Nome do Software Vulnerável e Versões Afetadas systeminformation versões 4.17.0 a 5.31.5

Descrição No Linux, a biblioteca está sujeita a injeção de comando na função networkInterfaces(). Isso ocorre quando o nome de um perfil de conexão ativo do NetworkManager contém metacaracteres de shell. O valor vulnerável é obtido internamente a partir da saída do comando nmcli device status. Embora a biblioteca sanitize os nomes das interfaces de rede, ela não aplica a mesma sanitização à variável connectionName analisada. Essa variável não sanitizada é posteriormente interpolada em três strings de comando de shell executadas via execSync(), permitindo que um invasor que possa criar ou renomear um perfil de conexão do NetworkManager execute comandos de shell arbitrários com os privilégios do processo Node.js.

Recomendações Atualize para a versão 5.31.6. Como medida paliativa temporária, restrinja a capacidade dos usuários de criar ou renomear perfis de conexão do NetworkManager em sistemas Linux afetados.