BDU:2023-01049

Опубликовано: 16 фев. 2021

Источник: fstec

CVSS3: 8.8

CVSS2: 6.8

EPSS Критический

Описание

Уязвимость пакета npm systeminformation программной платформы Node.js существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю выполнить произвольную команду

Вендор

Apache Software Foundation

Сообщество свободного программного обеспечения

Наименование ПО

Cordova

systeminformation

Версия ПО

10.0.0 (Cordova)

до 5.3.1 (systeminformation)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/sebhildebrandt/systeminformation/commit/07daa05fb06f24f96297abaa30c2ace8bfd8b525

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-21315
CVE

EPSS

Процентиль: 100%

0.93933

Критический

8.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2021-21315

CVSS3: 7.1

nvd

почти 5 лет назад

The System Information Library for Node.JS (npm package "systeminformation") is an open source collection of functions to retrieve detailed hardware, system and OS information. In systeminformation before version 5.3.1 there is a command injection vulnerability. Problem was fixed in version 5.3.1. As a workaround instead of upgrading, be sure to check or sanitize service parameters that are passed to si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... do only allow strings, reject any arrays. String sanitation works as expected.

GHSA-2m8v-572m-ff2v

CVSS3: 7.8

github