wxvl/doc/2024-12/命令注入漏洞使数百万Node.js系统面临攻击.md

#  命令注入漏洞使数百万Node.js系统面临攻击   
HackSee安全团队  HackSee   2024-12-24 08:10  
  
在广泛使用的Node.js系统信息包中发现了一个严重的命令注入漏洞（CVE-2024-56334），该信息包每月下载量超过800万次，总下载量达到惊人的3.3亿次。此漏洞可能允许攻击者执行任意操作系统命令，可能导致远程代码执行（RCE）或特权升级，具体取决于软件包的使用情况。  
  
该漏洞源于getWindowsIEEE8021x函数中的命令注入漏洞，该函数用于检索网络SSID信息。在将SSID作为参数传递给cmd.exe之前，此函数无法正确消毒SSID。因此，攻击者可以在Wi-Fi网络的SSID中嵌入恶意命令，然后在调用getWindowsIEEE8021x函数时在易受攻击的系统上执行这些命令。  
  
安全研究人员xAiluros发现了CVE-2024-56334漏洞，并通过在Windows服务中升级特权来展示其潜在影响。攻击者可以通过创建带有恶意SSID的Wi-Fi热点来利用此漏洞。当一个易受攻击的系统连接到这个网络时，可以执行嵌入在SSID中的攻击者的命令，从而可能导致远程代码执行或特权升级。  
  
两个有效载荷示例展示了利用的潜力：  
  
SSID: a " | ping /t 127.0.0.1 &  
  
SSID: a " | %SystemDrive%\a\a.exe &  
  
一旦连接到恶意Wi-Fi网络，使用该软件包在应用程序中执行易受攻击的功能，例如：  
```
const si = require('systeminformation');
si.networkInterfaces((net) => { console.log(net) });
```  
  
可以触发攻击，在受害者的机器上运行有效载荷。  
  
“systeminformation”的5.23.6及以下版本受此漏洞影响。维护者已经发布了5.23.7版本，解决了这个问题。强烈建议此软件包的所有用户立即更新到最新版本。