В популярной Node.js библиотеке systeminformation, суммарно загруженной более 34 000 000 раз, нашли уязвимость, допускавшую инъекции команд. Проблема получила идентификатор CVE-2021-21315.

Библиотека systeminformation позволяет разработчикам получать системную информацию, связанную с процессором и другими компонентами, батареей, сетью, различными службами и системными процессами.

Уязвимость CVE-2021-21315 позволяла потенциальному злоумышленнику выполнять системные команды. Баг был исправлен в версии 5.3.1.

Всем пользователям systeminformation рекомендуется как можно скорее обновиться до версии 5.3.1 и выше. Если же это по какой-то причине невозможно, команда безопасности npm выпустила бюллетень безопасности, в котором описаны обходные пути решения проблемы.

Источник: xakep.ru