BDU:2021-05431

Опубликовано: 15 мар. 2021

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость библиотеки systeminformation программной платформы Node.js связана с ошибками при передаче данных в параметры служб si.inetLatency, si.inetChecksite, si.services, si.processLoad. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Node.js Foundation

IBM Corp.

Наименование ПО

Node.js

IBM Spectrum Protect Plus

Версия ПО

до 5.6.4 (Node.js)

от 10.1.0 до 10.1.8 (IBM Spectrum Protect Plus)

Тип ПО

Сетевое программное средство

ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Node.js:

https://github.com/sebhildebrandt/systeminformation/commit/7922366d707de7f20995fc8e30ac3153636bf35f

https://github.com/sebhildebrandt/systeminformation/commit/0be6fcd575c05687d1076d5cd6d75af2ebae5a46

https://github.com/sebhildebrandt/systeminformation/commit/01ef56cd5824ed6da1c11b37013a027fdef67524

Для программных продуктов IBM corp.:

https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-commons-and-node-js-affect-ibm-spectrum-protect-plus/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-21388
CVE

EPSS

Процентиль: 69%

0.00617

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2021-21388

CVSS3: 8.9

nvd

около 4 лет назад

systeminformation is an open source system and OS information library for node.js. A command injection vulnerability has been discovered in versions of systeminformation prior to 5.6.4. The issue has been fixed with a parameter check on user input. Please upgrade to version >= 5.6.4. If you cannot upgrade, be sure to check or sanitize service parameters that are passed to si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() and other commands. Only allow strings, reject any arrays. String sanitation works as expected.

GHSA-jff2-qjw8-5476