该漏洞被标识为CVE-2025-68154,一旦被利用,可能导致基于Windows的应用程序面临操作系统命令注入的风险,攻击者或能借此执行任意代码并掌控受影响的服务器。
安全研究人员在广受欢迎的Node.js库systeminformation中发现了一个高危漏洞,该库被数百万开发者用于获取系统指标。此漏洞编号为CVE-2025-68154,会让运行在Windows平台上的应用程序暴露于命令注入攻击之下,攻击者可能借此执行恶意指令并控制服务器。
这个库每月的下载量“超过1600万次”,因此漏洞的影响范围极广,波及所有依赖该库来获取硬件和操作系统数据的监控仪表板、CLI工具以及Web应用程序。

漏洞技术分析
漏洞存在于库的fsSize()函数中,尤其影响Windows系统。该函数原本用于返回文件系统大小,但由于缺乏输入净化机制,成为攻击者的突破口。
根据安全公告:“可选的驱动器参数未经净化就直接拼接到PowerShell命令中,当用户控制的输入进入此函数时,可能导致任意命令被执行。”这意味着如果应用程序允许用户指定查询的驱动器(监控工具中常见功能),攻击者就能注入恶意PowerShell命令而非有效的驱动器盘符。
潜在危害
漏洞被利用后后果严重。由于注入的命令以Node.js进程权限运行,攻击者可借此实现远程代码执行。安全公告列出了几种关键攻击场景:完全控制:攻击者能“以Node.js进程权限执行任意命令”,彻底劫持应用程序逻辑数据窃取:漏洞可让攻击者“读取敏感文件并从托管服务器窃取数据”横向移动:入侵后攻击者可“利用被攻陷系统攻击内部网络”从低级监控工具跳转至关键基础设施勒索软件:最坏情况下,漏洞可用于“下载并执行恶意负载”,最终部署勒索软件
影响范围与修复方案
该漏洞影响Windows平台上的systeminformation 5.27.13及以下版本,Linux、macOS和其他类Unix系统不受影响。开发者应立即升级至5.27.14版本,该版本通过引入适当的净化机制消除了威胁。
