CVE-2025-68154: CWE-78: 在sebhildebrandt systeminformation库中对操作系统命令中使用的特殊元素进行不当中和（操作系统命令注入）

严重性: 高 类型: 漏洞

CVE-2025-68154

systeminformation 是一个用于 Node.js 的系统与操作系统信息库。在 5.27.14 之前的版本中，systeminformation 的 fsSize() 函数在 Windows 系统上易受操作系统命令注入攻击。可选的 drive 参数未经净化直接拼接到 PowerShell 命令中，当用户控制的输入到达此函数时，允许执行任意命令。实际的利用可能性取决于应用程序如何使用此函数。如果应用程序不向 fsSize() 传递用户控制的输入，则不易受攻击。版本 5.27.14 包含了修复补丁。

AI 分析

技术摘要

CVE-2025-68154 是一个被归类为 CWE-78 的操作系统命令注入漏洞，影响 Node.js 的 systeminformation 库，特别是 5.27.14 之前的版本。该漏洞源于 fsSize() 函数，该函数通过在 Windows 系统上执行 PowerShell 命令来检索文件系统大小信息。该函数接受一个可选的 drive 参数，该参数未经适当的净化或转义直接拼接到 PowerShell 命令字符串中。如果应用程序将用户控制的输入传递给此参数，攻击者可以注入任意 PowerShell 命令，从而导致远程代码执行。该漏洞可在无需身份验证或用户交互的情况下被远程利用，因为该库通常用于后端服务。CVSS 3.1 评分 8.1 反映了对机密性、完整性和可用性的高影响，具有网络攻击向量和较高的攻击复杂性。可利用性取决于应用程序如何使用 fsSize() 函数；如果没有用户输入到达此函数，风险则得到缓解。该漏洞于 2025 年 12 月 16 日公开披露，并在 systeminformation 版本 5.27.14 中修复。目前尚未报告有已知的在野利用。此漏洞对于那些在 Windows 上运行并使用 systeminformation 获取系统指标且未对 fsSize() 输入进行净化的 Node.js 应用程序至关重要。

潜在影响

对于欧洲组织而言，此漏洞构成重大风险，特别是对于那些在 Windows 服务器上运行 Node.js 应用程序并使用 systeminformation 库进行系统监控或诊断的组织。成功利用可导致任意代码执行，使攻击者能够通过访问敏感数据破坏系统机密性、通过修改系统或应用程序数据破坏完整性、以及通过中断服务或部署勒索软件破坏可用性。这可能导致数据泄露、运营停机，以及因未经授权的访问或数据丢失而可能违反 GDPR 规定。关键基础设施、金融、医疗保健和政府服务等领域的组织由于对服务连续性和数据敏感性的潜在影响而面临特别风险。该漏洞的利用不需要身份验证或用户交互，从而增加了攻击面。然而，攻击复杂性较高，需要了解易受攻击函数的使用方式以及提供精心构造输入的能力。尚无已知在野利用的事实表明存在主动缓解的时间窗口。未能打补丁或审计使用情况可能导致利用此漏洞的针对性攻击。

缓解建议

欧洲组织应立即将 systeminformation 库升级到 5.27.14 或更高版本以应用官方补丁。此外，开发人员必须审计所有代码库，以识别 fsSize() 函数的使用情况，特别是 drive 参数可能接收用户输入的地方。应严格执行输入验证和净化，在将任何不受信任的输入传递给 fsSize() 之前拒绝或安全地转义。在可能的情况下，完全避免将用户控制的数据传递给此函数。实施运行时应用程序自我保护（RASP）或 Web 应用程序防火墙（WAF），并配置规则以检测和阻止可疑的 PowerShell 命令模式。采用严格的访问控制和网络分段以限制易受攻击服务的暴露。进行渗透测试，重点关注 systeminformation 使用中的注入向量。保持最新的日志记录和监控以检测异常的命令执行尝试。最后，教育开发人员了解与命令注入相关的安全编码实践以及系统级调用中未净化输入的风险。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

技术详情

数据版本: 5.2 分配者简称: GitHub_M 日期保留: 2025-12-15T23:02:17.603Z Cvss 版本: 3.1 状态: PUBLISHED 威胁 ID: 6941a4041a61eff6269a934d 添加到数据库: 2025年12月16日，下午6:25:08 最后丰富: 2025年12月16日，下午6:40:12 最后更新: 2025年12月17日，上午1:30:29 查看次数: 39