NodeJS 系统信息库命令注入 (CVE-2021-21315)

high Nessus 插件 ID 164017

语言:

简介

远程主机上有一个 Web 应用程序框架库受到命令注入漏洞的影响。

描述

远程主机上的 systeminformation npm 模块低于 5.3.1 版。因此,它受到一个命令注入漏洞的影响。Node.JS 的系统信息库(npm 程序包“systeminformation”)是用于检索详细硬件、系统和操作系统信息的开源函数集合。5.3.1 之前版本的 systeminformation 中存在命令注入漏洞,此漏洞已在 5.3.1 版中修复。作为替代升级的变通方案,请务必检查或审查传递至 si.inetLatency()、si.inetChecksite()、si.services() 或 si.processLoad()... 的服务参数,以仅允许字符串并拒绝任何数组。字符串审查按预期进行。

解决方案

将 systeminformation 模块升级到 5.3.1 或更高版本。

另见

http://www.nessus.org/u?103e42ce

https://security.netapp.com/advisory/ntap-20210312-0007/

http://www.nessus.org/u?5b30aacc

插件详情

严重性: High

ID: 164017

文件名: nodejs_cve-2021-21315.nbin

版本: 1.12

类型: remote

系列: CGI abuses

发布时间: 2022/8/10

最近更新时间: 2023/5/31

风险信息

CVSS 分数理由: Tenable confirms the access vector is network, not local

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: manual

CVSS v3

风险因素: High

基本分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: cpe:/a:systeminformation:systeminformation

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/2/14

漏洞发布日期: 2022/2/14

参考资料信息

CVE: CVE-2021-21315