CVE-2021-21315 Linux sudoNode.js命令注入
漏洞简介
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。
漏洞原理
Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令,最终获取服务器最高权限。
漏洞信息
漏洞名称 | Linux sudoNode.js命令注入漏洞 |
---|---|
漏洞编号 | CVE-2021-21315 |
危害等级 | 严重 |
CVSS评分 | 7.8 |
漏洞类型 | Node.js-systeminformation |
漏洞厂商 | node |
漏洞组件 | Node.js-systeminformation |
受影响版本 | Systeminformation < 5.3.1 |
漏洞概述 | Fastjson是一个阿里巴巴Java语言编写的高性能JS |