知名Node.js组件存在代码注入漏洞
喜欢就关注我们吧!
日前,一个被大量下载的 Node.js 组件被发现其含有一个高危的代码注入漏洞。
该漏洞被追踪为 CVE-2021-21315,影响了「systeminformation」npm 组件的安全性,该组件每周的下载量约为 80 万次,自诞生以来,至今已获得近 3400 万次下载。
漏洞已被修复
简单来说,「systeminformation」是一个轻量级的 Node.js 组件,开发者可以在项目中加入该组件,以检索与 CPU、硬件、电池、网络、服务和系统进程相关的系统信息。
该组件的开发者表示:"虽然 Node.js 自带了一些基本的操作系统信息,但我一直想要获得更多信息。因此我就写了这个小型的组件。这个组件目前还在开发中。它可以作为一个后端/服务器端的组件来使用的,肯定不会在浏览器内工作"。
然而,「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。
下图所示的是「systeminformation」在 5.3.1 版本的修复,在调用进一步的命令之前,会对参数进行清理,以检查它们是否为字符串数据类型,并额外检查该参数在任何时候是否发生过原型污染。
「systeminformation」的用户应升级到 5.3.1 及以上版本,以解决其应用程序中的 CVE-2021-21315 漏洞。
变通方法同样可用
对于那些项目灵活性不高、无法升级到修复版本的开发者,「systeminformation」项目的发布者在公告中也分享了一个可以采用的变通方法。
安全公告中提到:“作为替代升级的一种变通方法,一定要检查或清理传递给 si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad() 的服务参数。只允许字符串,拒绝任何数组。”
这同样涉及清理参数中的任何违规字符,并正确验证它们是否属于字符串数据类型。
知名Node.js组件存在代码注入漏洞相关推荐
- 一道题学习node.js中的CRLF注入
前言 这几天刷题遇到在node.js题目中注入CRLF实现ssrf的题目,对于我来说知识听新颖.在此记录一下. CRLF注入 学习过http请求走私漏洞的师傅对于这个CRLF肯定不会陌生.所谓的CRL ...
- Spring-Cloud-Gateway之代码注入漏洞及解决
目录 1. 背景 2. 漏洞简介 3. 原理 3. 1Spring-Cloud-Gateway的原理 3.1.1 核心流程 3.1.2 流程说明 3.1.3 常见的 API 网关实现方案主要有以下 6 ...
- node.js 组件_使用Node.js和TransloadIt构建用户头像组件
node.js 组件 在本系列的第一部分中,我们介绍了TransloadIt -一种文件处理服务,专门处理图像,视频和音频. 如果您还没有阅读它,我建议您立即阅读,因为它涵盖了很多背景概念,您需要阅读 ...
- 中国商标网JS调试 - 动态代码注入
中国商标网JS调试 - 动态代码注入 中国商标网JS调试 - 动态代码注入 前言 背景 工具 知识点 正文 了解 Fiddler Script Session 处理函数 反调试策略 问题分析 解决思路 ...
- Hack The Box - Catch 利用let chat API查询信息,Cachet配置泄露漏洞获取ssh登录密码,apk代码注入漏洞利用获取root权限
Hack The Box-Catch Hack The Box开始使用流程看这篇 文章目录 Hack The Box-Catch 整体思路 1.Nmap扫描 2.apk文件信息收集 3.lets ch ...
- Discuz!uc.key泄露导致代码注入漏洞uc.php的解决方法
漏洞名称:Discuz uc.key泄露导致代码注入漏洞 漏洞描述:在Discuz中,uc_key是UC客户端与服务端通信的通信密钥,discuz中的/api/uc.php存在代码写入漏洞,导致黑客可 ...
- 服务器项目混淆,压缩和混淆node.js服务端代码
压缩和混淆node.js服务端代码 在前端我们有webpack,gulp等构建工具提供了从项目结构搭建到部署打包,基本所有工作流程所需要的都被覆盖到了. 在后台node.js写的服务端却是透明,很多时 ...
- 压缩和混淆node.js服务端代码
压缩和混淆node.js服务端代码 在前端我们有webpack,gulp等构建工具提供了从项目结构搭建到部署打包,基本所有工作流程所需要的都被覆盖到了. 在后台node.js写的服务端却是透明,很多时 ...
- 下载量达数百万次的NodeJS 模块被曝代码注入漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 一个下载量达数百万次的 Node.js 模块中被指存在一个安全缺陷,可导致攻击者在服务器上执行拒绝服务攻击或者获得完整的远程 shel ...
最新文章
- 6.11 将分割数据转换为多值IN列表
- 调整图像- 自动对比度、自动色阶算法
- java md5包_JAVA中有没有提供MD5算法的包啊?
- SqlServer 导出指定表数据 生成Insert脚本
- 32.ExtJS简单的动画效果
- 200行自定义异步非阻塞Web框架
- 类似excel实现文本中带数字的值进行规律填充[前提:字符串中数字对数相等](-)
- 库、dlopen、函数名都正确,dlsym出错了,怎么回事
- 入门大数据基础知识了解
- atmega328 48手动解锁 擦除
- Sentinel控制台 1.8.0实时监控空白
- jQuery插入QuickTime视频播放器
- 江苏高考时间2021成绩查询,小高考时间2021具体时间江苏-江苏小高考成绩查询公布时间及网站...
- 电脑桌面图标有阴影怎么办
- 不限专业和工作年限就能报考的证书有哪些?
- 树莓派linux下gpio驱动,树莓派官方自带gpio驱动bcm2708_gpio.c原理分析 linux gpio架构 gpio子系统...
- 拖延症患者的自我反省
- pycharm更换主题,pycharm更换皮肤,pycharm更换不同颜色
- Oracle获取本年,本月,下月,上月 第一天或最后一天日期
- 二级python——(三)format()方法的基本使用
热门文章
- fillcolor是什么意思_fill是什么意思
- Tomcat 发布项目 conf/Catalina/localhost 配置 及数据源配置
- Android——监听事件总结
- 关于spring boot多张表建立外健的讨论
- Linux环境下压缩与解压命令大全
- js(jQuery)获取时间的方法及常用时间类
- POJ 3274 Gold Balanced Lineup(哈希)
- 《那些年啊,那些事——一个程序员的奋斗史》——126
- java mina unix client
- Linux内核里的“智能指针” (续)