CVE-2021-21315 Linux sudoNode.js命令注入

本文介绍了CVE-2021-21315,一个影响Node.js-systeminformation模块的命令注入漏洞。漏洞允许攻击者通过未过滤的参数执行系统命令,获取服务器高权限。详细内容包括漏洞原理、环境搭建步骤、漏洞复现过程以及修复方案,建议及时更新systeminformation到5.3.1或更高版本。
摘要由CSDN通过智能技术生成

CVE-2021-21315 Linux sudoNode.js命令注入

漏洞简介

Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。

漏洞原理

Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令,最终获取服务器最高权限。

漏洞信息

漏洞名称 Linux sudoNode.js命令注入漏洞
漏洞编号 CVE-2021-21315
危害等级 严重
CVSS评分 7.8
漏洞类型 Node.js-systeminformation
漏洞厂商 node
漏洞组件 Node.js-systeminformation
受影响版本 Systeminformation < 5.3.1
漏洞概述 Fastjson是一个阿里巴巴Java语言编写的高性能JS
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值