近日，有外媒bleepingcomputer称一个名为“system Information”的轻量级Node.js库，存在高危命令注入漏洞（CVE-2021-21315）。

该漏洞影响到“system Information”NPM组件，该组件每周下载约80万次，自开始以来已获得近3400万次下载。

据悉，“system Information”是一个轻量级的Node.js库，开发人员可以将它包含在他们的项目中，以检索与CPU、硬件、电池、网络、服务和系统进程相关的系统信息。

这个库仍在使用中，并用作后端/服务器端库(肯定不会在浏览器中工作)。

但是，“system Information”中存在代码注入缺陷，这意味着攻击者可以通过在组件使用的未初始化参数中注入有效负载来执行系统命令。

正在使用“system Information”的用户，建议升级到5.3.1及以上版本，来解决这个漏洞。

对于无法升级到固定版本的开发人员，项目发布者也提供了相应的解决方法。

npm在安全建议中写道：“作为替代升级的解决方法，请确保检查或初始化服务参数有传递给si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... 并确保只允许字符串，拒绝任何数组。字符串按预期工作。”

我们鼓励Node.js开发人员在命令和数据库查询中使用它之前，确保他们的应用程序对用户输入进行适当的审查。

建议开发人员定期访问NPM获取Node.js组件的最新安全修补程序信息。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com