FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

安全研究人员在广受欢迎的 Node.js 库 systeminformation 中发现一个高危漏洞，该库被数百万开发者用于获取系统指标。该漏洞编号为（CVE-2025-68154），会导致基于 Windows 的应用程序面临操作系统命令注入风险，攻击者可能借此执行任意代码并控制受影响服务器。

这个库每月下载量"超过 1600 万次"，因此漏洞影响范围极大，波及依赖该库获取硬件和操作系统数据的监控仪表板、CLI 工具和 Web 应用程序。

漏洞技术分析

漏洞存在于库的 fsSize() 函数中，尤其影响 Windows 系统。该函数本用于返回文件系统大小，但由于缺乏输入净化机制，成为攻击者的突破口。

根据安全公告："可选的驱动器参数未经净化就直接拼接到 PowerShell 命令中，当用户控制的输入进入此函数时，可能导致任意命令执行。"这意味着如果应用程序允许用户指定查询的驱动器（监控工具中常见功能），攻击者就能注入恶意 PowerShell 命令而非有效驱动器盘符。

潜在危害

漏洞利用后果严重。由于注入的命令以 Node.js 进程权限运行，攻击者可借此实现远程代码执行（RCE）。安全公告列出了几种关键攻击场景：

• 完全控制：攻击者能"以 Node.js 进程权限执行任意命令"，彻底劫持应用程序逻辑
• 数据窃取：漏洞可让攻击者"读取敏感文件并从托管服务器窃取数据"
• 横向移动：入侵后攻击者可"利用被攻陷系统攻击内部网络"资源，从低级监控工具跳转至关键基础设施
• 勒索软件：最坏情况下，漏洞可被用于"下载并执行恶意负载"，最终部署勒索软件

影响范围与修复方案

该漏洞影响 Windows 平台上的 systeminformation 5.27.13 及以下版本，Linux、macOS 和其他类 Unix 系统不受影响。开发者应立即升级至 5.27.14 版本，该版本通过引入适当的净化机制消除了威胁。

参考来源：

Node.js Alert: systeminformation Flaw Risks Windows RCE for 16M+ Monthly Users

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）