Ένα σοβαρό ελάττωμα ασφαλείας ανακαλύφθηκε στις πληροφορίες συστήματος, μια δημοφιλή βιβλιοθήκη Node.js που χρησιμοποιείται από χιλιάδες προγραμματιστές.
Η ευπάθεια, με την ένδειξη CVE-2025-68154, επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα σε υπολογιστές με Windows. Όλες οι εκδόσεις έως την 5.27.13 επηρεάζονται και οι προγραμματιστές πρέπει να ενημερώσουν αμέσως την έκδοση 5.27.14.
Το Systeminformation είναι ένα ευρέως χρησιμοποιούμενο πακέτο Node.js που βοηθά τους προγραμματιστές να συλλέγουν πληροφορίες σχετικά με συστήματα υπολογιστών, συμπεριλαμβανομένου του χώρου στο δίσκο, της χρήσης μνήμης και των διεργασιών που εκτελούνται.
Επειδή πολλές εφαρμογές εξαρτώνται από αυτήν τη βιβλιοθήκη, αυτή η ευπάθεια επηρεάζει ένα μεγάλο μέρος της κοινότητας ανάπτυξης. Η ευπάθεια υπάρχει στη συνάρτηση fsSize(), η οποία ελέγχει την ποσότητα του ελεύθερου χώρου στο δίσκο.
| Ιδιότης | Αξία |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-68154 |
| Πακέτο | πληροφορίες συστήματος (npm) |
| Τύπος ευπάθειας | OS Command Injection (CWE-78) |
| Εκδόσεις που επηρεάζονται | ≤5.27.13 |
| Βαθμολογία CVSS | 7.5 |
| Διάνυσμα επίθεσης | Δίκτυο |
Το πρόβλημα παρουσιάζεται όταν αυτή η συνάρτηση λαμβάνει τα δεδομένα χρήστη για τον καθορισμό της μονάδας δίσκου που θα ελεγχθεί. Ο κώδικας δεν καθαρίζει ούτε επικυρώνει αυτήν την είσοδο πριν τη χρησιμοποιήσει σε μια εντολή PowerShell.
Ένας εισβολέας μπορεί να εισάγει πρόσθετες εντολές αντί να ζητά απλώς πληροφορίες σχετικά με τη μονάδα δίσκου C:. Θα μπορούσαν να εισάγουν κάτι σαν “C:; whoami #” για να εκτελέσουν επιπλέον εντολές και να αποκαλύψουν πληροφορίες συστήματος.
Μόνο οι εφαρμογές που πληρούν συγκεκριμένες προϋποθέσεις κινδυνεύουν. Η εφαρμογή πρέπει να εκτελείται σε Windows, να χρησιμοποιεί τη συνάρτηση fsSize() με είσοδο ελεγχόμενη από το χρήστη και να μεταβιβάζει δεδομένα χρήστη απευθείας στη συνάρτηση.
Αυτό επηρεάζει κυρίως εφαρμογές ιστού, API, πίνακες εργαλείων και εργαλεία παρακολούθησης που επιτρέπουν στους χρήστες να προσδιορίζουν ποια μονάδα δίσκου θα υποβάλουν ερώτημα.
Εάν γίνει εκμετάλλευση, οι εισβολείς θα μπορούσαν να εκτελέσουν αυθαίρετες εντολές με τα προνόμια της διαδικασίας Node.js. Θα μπορούσαν να κάνουν λήψη ransomware, να κλέψουν ευαίσθητα αρχεία, να αποκτήσουν έλεγχο συστήματος ή να επιτεθούν σε άλλους υπολογιστές στο δίκτυο.
Σύμφωνα με το συμβουλευτικόςοι προγραμματιστές πρέπει να ενημερώσουν αμέσως τις πληροφορίες συστήματος στην έκδοση 5.27.14. Αυτή η ενημερωμένη έκδοση επικυρώνει σωστά την είσοδο αφαιρώντας επικίνδυνους χαρακτήρες.
Οι προγραμματιστές θα πρέπει επίσης να ελέγξουν τις εφαρμογές τους για να βεβαιωθούν ότι δεν μεταβιβάζουν τα δεδομένα χρήστη απευθείας στο fsSize(). Εξετάστε το ενδεχόμενο να επιτρέψετε τα γράμματα μονάδας δίσκου ως πρόσθετο επίπεδο προστασίας.
Αυτή η ευπάθεια υπογραμμίζει την κρίσιμη σημασία της διατήρησης ενημερωμένων των εξαρτήσεων λογισμικού και της επικύρωσης των εισροών του χρήστη πριν τη χρήση του σε εντολές συστήματος. Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα σε αυτήν την ενημέρωση κώδικα ως μέρος της τακτικής συντήρησης ασφαλείας.
