systeminformation漏洞警示:Node.js组件或危及1600万Windows用户
该漏洞被标识为CVE-2025-68154,一旦被利用,可能导致基于Windows的应用程序面临操作系统命令注入的风险,攻击者或能借此执行任意代码并掌控受影响的服务器。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
安全研究人员在广受欢迎的Node.js库systeminformation中发现了一个高危漏洞,该库被数百万开发者用于获取系统指标。此漏洞编号为CVE-2025-68154,会让运行在Windows平台上的应用程序暴露于命令注入攻击之下,攻击者可能借此执行恶意指令并控制服务器。
这个库每月的下载量“超过1600万次”,因此漏洞的影响范围极广,波及所有依赖该库来获取硬件和操作系统数据的监控仪表板、CLI工具以及Web应用程序。
漏洞技术分析
漏洞存在于库的fsSize()函数中,尤其影响Windows系统。该函数原本用于返回文件系统大小,但由于缺乏输入净化机制,成为攻击者的突破口。
根据安全公告:“可选的驱动器参数未经净化就直接拼接到PowerShell命令中,当用户控制的输入进入此函数时,可能导致任意命令被执行。”这意味着如果应用程序允许用户指定查询的驱动器(监控工具中常见功能),攻击者就能注入恶意PowerShell命令而非有效的驱动器盘符。
潜在危害
漏洞被利用后后果严重。由于注入的命令以Node.js进程权限运行,攻击者可借此实现远程代码执行。安全公告列出了几种关键攻击场景:完全控制:攻击者能“以Node.js进程权限执行任意命令”,彻底劫持应用程序逻辑数据窃取:漏洞可让攻击者“读取敏感文件并从托管服务器窃取数据”横向移动:入侵后攻击者可“利用被攻陷系统攻击内部网络”从低级监控工具跳转至关键基础设施勒索软件:最坏情况下,漏洞可用于“下载并执行恶意负载”,最终部署勒索软件
影响范围与修复方案
该漏洞影响Windows平台上的systeminformation 5.27.13及以下版本,Linux、macOS和其他类Unix系统不受影响。开发者应立即升级至5.27.14版本,该版本通过引入适当的净化机制消除了威胁。
相关攻略
F5公司已发布解决方案指南,强烈建议各组织立即遵循最新缓解步骤。 美国网络安全和基础设施安全局(CISA)已将新披露的F5 BIG-IP系统漏洞纳入其已知已利用漏洞(KEV)目录,警告该漏洞正在真实
该漏洞源于Angular处理国际化(i18n)安全敏感HTML属性的方式。虽然Angular默认提供强大的内置净化机制来自动清理恶意输入,但当应用为敏感属性启用国际化时,这一关键保护会被绕过。 漏洞
Ubuntu 安全团队在公开发布前通过将 Ubuntu 25 10 的默认 rm 命令恢复为 GNU coreutils 缓解了风险,上游修复已应用于 uutils 代码库。 漏洞概述Ubuntu
本文讲述国外白帽小哥如何从一个简单且超出范围的漏洞入手,被严格WAF拦截后,等待2个半月学习新技能,最终将其升级为高危9 3分反射型XSS(跨站脚本)的全过程。 在漏洞众测中,耐心是最有用的武器,有
该漏洞源于不当的访问控制机制,使得相邻网络中的未认证攻击者能够拦截敏感配置文件,并在基于网络的操作系统部署过程中执行任意代码。 微软宣布将分两个阶段禁用Windows部署服务(WDS)中的无人值守部
热门专题
热门推荐
IT之家 3 月 30 日消息,小米正式安全中心现更新智能硬件产品终止软件支持产品列表。IT之家注意到,智能手机与平板板块显示,Redmi K60 和 Redmi K60E 将停止软件或固件更新(含
UC浏览器多端浏览记录不同步的解决方法包括:一、确认账号登录一致并开启“浏览历史”同步开关;二、手动点击“立即同步”按钮强制同步;三、关闭“仅Wi-Fi下同步”并排查网络限制;四、
盘搜搜是一个可以帮助用户查找各类资源的平台,其中不乏百度网盘资源。要在盘搜搜找百度网盘资源,首先打开盘搜搜的游戏。进入 后,在搜索框中输入你想要的资源关键词,比如具体的电影名称、学
首先,在游戏开始前,要确保正确安装并激活插件。进入游戏后,留意插件带来的新界面元素和提示信息,这能帮助你快速熟悉插件功能。在战斗中,插件能带来诸多独特效果。例如,它可能会增强武器的
在燕云十六声的世界里,扶摇峰见闻任务充满了神秘与趣味。下面就带你详细了解如何完成这个任务。接取任务首先,你要来到特定地点触发扶摇峰见闻任务。这通常需要你在主线剧情推进到一定阶段后,