日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

日前，一個被大量下載的 Node.js 組件被發(fā)現(xiàn)其含有一個高危的代碼注入漏洞。

該漏洞被追蹤為 CVE-2021-21315，影響了「systeminformation」npm 組件的安全性，該組件每周的下載量約為 80 萬次，自誕生以來，至今已獲得近 3400 萬次下載。

漏洞已被修復

簡單來說，「systeminformation」是一個輕量級的 Node.js 組件，開發(fā)者可以在項目中加入該組件，以檢索與 CPU、硬件、電池、網絡、服務和系統(tǒng)進程相關的系統(tǒng)信息。

該組件的開發(fā)者表示："雖然 Node.js 自帶了一些基本的操作系統(tǒng)信息，但我一直想要獲得更多信息。因此我就寫了這個小型的組件。這個組件目前還在開發(fā)中。它可以作為一個后端/服務器端的組件來使用的，肯定不會在瀏覽器內工作"。

然而，「systeminformation」中代碼注入漏洞的存在意味著攻擊者可以通過在組件使用的未初始化參數(shù)內小心翼翼地注入有效載荷來執(zhí)行系統(tǒng)命令。

下圖所示的是「systeminformation」在 5.3.1 版本的修復，在調用進一步的命令之前，會對參數(shù)進行清理，以檢查它們是否為字符串數(shù)據(jù)類型，并額外檢查該參數(shù)在任何時候是否發(fā)生過原型污染。

「systeminformation」的用戶應升級到 5.3.1 及以上版本，以解決其應用程序中的 CVE-2021-21315 漏洞。

變通方法同樣可用

對于那些項目靈活性不高、無法升級到修復版本的開發(fā)者，「systeminformation」項目的發(fā)布者在公告中也分享了一個可以采用的變通方法。

安全公告中提到：“作為替代升級的一種變通方法，一定要檢查或清理傳遞給 si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad() 的服務參數(shù)。只允許字符串，拒絕任何數(shù)組。”

這同樣涉及清理參數(shù)中的任何違規(guī)字符，并正確驗證它們是否屬于字符串數(shù)據(jù)類型。

本文轉自OSCHINA

本文標題：老牌 Node.js 組件存在代碼注入漏洞

本文地址：https://www.oschina.net/news/131199/heavily-used-nodejs-package-has-a-code-injection-vulnerability

當前文章：老牌Node.js組件存在代碼注入漏洞
本文URL：http://www.dlmjj.cn/article/cocseid.html