官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
数千名开发者使用的流行Node.js库systeminformation近日曝出严重安全漏洞(CVE-2025-68154),攻击者可利用该漏洞在Windows系统上执行恶意代码。所有5.27.13及以下版本均受影响,开发者需立即升级至5.27.14版本。
漏洞详情
systeminformation是一个广泛使用的Node.js包,可帮助开发者收集计算机系统信息,包括磁盘空间、内存使用情况和运行进程等。由于众多应用程序依赖该库,此漏洞影响范围甚广。
漏洞存在于检查磁盘可用空间的fsSize()函数中。当该函数接收用户输入指定待检查驱动器时,代码未对输入进行清理或验证就直接用于PowerShell命令。攻击者可注入类似"C:; whoami #"的额外命令来执行操作并获取系统信息。
| 属性 | 值 |
|---|---|
| CVE编号 | CVE-2025-68154 |
| 软件包 | systeminformation (npm) |
| 漏洞类型 | 操作系统命令注入(CWE-78) |
| 受影响版本 | ≤5.27.13 |
| CVSS评分 | 7.5 |
| 攻击途径 | 网络 |
受影响场景
仅满足特定条件的应用程序存在风险:
- 运行于Windows系统
- 使用fsSize()函数处理用户可控输入
- 直接将用户数据传递给该函数
主要影响允许用户指定查询驱动器的Web应用程序、API、仪表盘和监控工具。若遭利用,攻击者能以Node.js进程权限执行任意命令,包括下载勒索软件、窃取敏感文件、获取系统控制权或攻击内网其他计算机。
修复建议
安全公告建议开发者立即将systeminformation升级至5.27.14版本,该版本通过移除危险字符实现了正确的输入验证。开发者还应检查应用程序是否直接将用户输入传递给fsSize()函数,建议仅允许驱动器盘符作为额外防护层。
此漏洞凸显了保持软件依赖项更新及在执行系统命令前验证用户输入的重要性,企业应将此补丁纳入常规安全维护的优先事项。
参考来源:
Critical Vulnerability in Popular Node.js Library Exposes Windows Systems to RCE Attacks
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)