リモートホストに、5.3.1より前の systeminformation npm モジュールが含まれています。このため、コマンドインジェクションの脆弱性による影響を受けます。Node.JS 用 System Information Library (npm パッケージ「systeminformation」) は、詳細なハードウェア、システム、OS の情報を取得するための関数のオープンソースコレクションです。バージョン 5.3.1より前の systeminformation に、コマンドインジェクションの脆弱性があります。この脆弱性はバージョン 5.3.1で修正されました。アップグレードの代わりの回避策として、si.inetLatency()、si.inetChecksite()、si.services()、または si.processLoad()...に渡されるサービスパラメーターをチェックまたはサニタイズし、文字列のみを許可し、配列は拒否するようにします。文字列のサニタイズが期待通りに機能します。

検出

NodeJS System Information Library のコマンドインジェクション (CVE-2021-21315)

high Nessus プラグイン ID 164017

バージョン 1.37