Node.js tiene una vulnerabilidad de inyección de código

Una biblioteca Node.js muy descargada tiene una vulnerabilidad de inyección de comando de alta gravedad revelada este mes.

Rastreado como  CVE-2021-21315 , el error afecta el componente npm "systemminformation" que recibe alrededor de 800,000 descargas semanales y ha obtenido cerca de 34 millones de descargas hasta la fecha desde su inicio.

Error de inyección de comandos del sistema operativo solucionado

En pocas palabras, "systemminformation" es una biblioteca ligera de Node.js que los desarrolladores pueden incluir en su proyecto para recuperar información del sistema relacionada con la CPU, el hardware, la batería, la red, los servicios y los procesos del sistema.

Según el desarrollador del proyecto, se espera que los desarrolladores utilicen "información del sistema" en el backend.

"Node.js viene con información básica del sistema operativo, pero siempre quise un poco más. Así que se me ocurrió escribir esta pequeña biblioteca".

"Esta biblioteca aún está en progreso. Se supone que debe usarse como una biblioteca del lado del servidor / backend (definitivamente no funcionará dentro de un navegador)", afirma el desarrollador detrás del componente.

Sin embargo, la presencia de la falla de inyección de código dentro de la "información del sistema" significaba que un atacante podría ejecutar comandos del sistema inyectando cuidadosamente la carga útil dentro de los parámetros no desinfectados utilizados por el componente.

La corrección que se muestra a continuación que se incluyó en la versión  5.3.1 de "información del sistema" desinfecta los parámetros, verifica si son del  tipo de datos de cadena y, además, si el parámetro había contaminado el prototipo en algún momento, antes de invocar más comandos.

Los usuarios de "systeminformation" deben actualizar a las versiones 5.3.1 y superiores para resolver la vulnerabilidad CVE-2021-21315 en su aplicación.