Katalog CVE

CVE-2026-44724

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.62%

Percentyl 46 - wyżej niż 46% wszystkich znanych CVE

Streszczenie

Biblioteka systeminformation dla Node.js w wersjach od 4.17.0 do 5.31.5 zawiera podatność na wstrzyknięcie poleceń w funkcji networkInterfaces() na systemie Linux. Problem występuje, gdy aktywna nazwa profilu połączenia Network Managera zawiera znaki specjalne powłoki, które nie są odpowiednio sanityzowane przed użyciem w poleceniach powłoki.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych z uprawnieniami procesu Node.js, co może prowadzić do przejęcia kontroli nad serwerem lub wycieku danych.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę systeminformation do wersji 5.31.6 lub nowszej, która zawiera poprawkę usuwającą podatność.

Oryginalny opis (angielski, źródło NVD)

systeminformation is a System and OS information library for node.js. From 4.17.0 to 5.31.5, on Linux, systeminformation is vulnerable to command injection in networkInterfaces() when an active NetworkManager connection profile name contains shell metacharacters. The vulnerable value is obtained internally from real nmcli device status output. The library sanitizes the network interface name before using it in shell commands, but it does not apply equivalent sanitization to the parsed NetworkManager connection profile name. That unsanitized connectionName is then interpolated into three shell command strings executed through execSync(). This vulnerability is fixed in 5.31.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS