CVE-2021-21315
Command Injection Vulnerability
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 7.1EPSS 90.2%KEV simPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
16 feb 2021Publicada en NVD
01 mar 2021PoC pública
18 ene 2022Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una librería Node.js llamada 'systeminformation' permite que atacantes ejecuten comandos no autorizados en un servidor si se pasan datos no confiables a ciertas funciones como inetLatency() o services(). Esto ocurre porque la librería no valida correctamente la entrada del usuario antes de ejecutar comandos del sistema.
Detalle técnico
Vulnerabilidad de inyección de comandos en systeminformation <5.3.1 donde funciones (inetLatency, inetChecksite, services, processLoad) no sanitizan adecuadamente los parámetros antes de pasarlos a ejecución de comandos shell. La explotación requiere pasar parámetros en array o strings maliciosos a funciones vulnerables; el impacto incluye ejecución arbitraria de comandos con los privilegios del proceso Node.js. Se corrigió en versión 5.3.1 con validación apropiada de entrada.
Resumen generado y traducido por IA a partir de la descripción oficial.
The System Information Library for Node.JS (npm package "systeminformation") is an open source collection of functions to retrieve detailed hardware, system and OS information. In systeminformation before version 5.3.1 there is a command injection vulnerability. Problem was fixed in version 5.3.1. As a workaround instead of upgrading, be sure to check or sanitize service parameters that are passed to si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... do only allow strings, reject any arrays. String sanitation works as expected.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.