NodeJS System Information Library のコマンドインジェクション (CVE-2021-21315)

high Nessus プラグイン ID 164017

概要

リモートホストに、コマンドインジェクションの脆弱性の影響を受けるウェブアプリケーションフレームワークライブラリが含まれています。

説明

リモートホストに、5.3.1より前の systeminformation npm モジュールが含まれています。このため、コマンドインジェクションの脆弱性による影響を受けます。Node.JS 用 System Information Library (npm パッケージ「systeminformation」) は、詳細なハードウェア、システム、OS の情報を取得するための関数のオープンソースコレクションです。バージョン 5.3.1より前の systeminformation に、コマンドインジェクションの脆弱性があります。この脆弱性はバージョン 5.3.1で修正されました。アップグレードの代わりの回避策として、si.inetLatency()、si.inetChecksite()、si.services()、または si.processLoad()...に渡されるサービスパラメーターをチェックまたはサニタイズし、文字列のみを許可し、配列は拒否するようにします。文字列のサニタイズが期待通りに機能します。

ソリューション

systeminformation モジュールを 5.3.1以降にアップグレードしてください。

関連情報

http://www.nessus.org/u?103e42ce

https://security.netapp.com/advisory/ntap-20210312-0007/

http://www.nessus.org/u?5b30aacc

http://www.nessus.org/u?103e42ce

プラグインの詳細

深刻度: High

ID: 164017

ファイル名: nodejs_cve-2021-21315.nbin

バージョン: 1.2

タイプ: remote

ファミリー: CGI abuses

公開日: 2022/8/10

更新日: 2022/11/30

リスク情報

CVSS スコアの根本的理由: Tenable confirms the access vector is network, not local

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: manual

CVSS v3

リスクファクター: High

Base Score: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:systeminformation:systeminformation

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/2/14

脆弱性公開日: 2022/2/14

参照情報

CVE: CVE-2021-21315