Plataforma
nodejs
Componente
systeminformation
Corregido en
5.23.8
La vulnerabilidad CVE-2024-56334 afecta a la biblioteca systeminformation para Node.js, una herramienta para obtener información del sistema y del SO. Esta falla de inyección de comandos permite a un atacante ejecutar comandos del sistema operativo si los SSID no se sanitizan correctamente antes de ser pasados a cmd.exe. Las versiones afectadas son aquellas anteriores o iguales a la 5.23.7. Se recomienda encarecidamente actualizar a la versión 5.23.7 para mitigar este riesgo.
La inyección de comandos en systeminformation puede tener un impacto significativo en la seguridad de las aplicaciones que utilizan esta biblioteca. Un atacante podría inyectar comandos maliciosos en el SSID, que luego se ejecutarían en el sistema con los privilegios del proceso que ejecuta systeminformation. Esto podría resultar en la ejecución remota de código (RCE) o la escalada de privilegios, permitiendo al atacante tomar control del sistema. La severidad de este impacto depende de la configuración y los permisos del entorno donde se ejecuta la aplicación, pero en escenarios donde systeminformation se utiliza para recopilar información sensible o interactuar con recursos críticos, el riesgo es considerable.
Actualmente, no se han reportado casos de explotación activa de CVE-2024-56334. La vulnerabilidad fue publicada el 20 de diciembre de 2024. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Applications and systems that utilize the systeminformation Node.js library, particularly those that dynamically retrieve or process SSIDs from network interfaces, are at risk. This includes applications performing network diagnostics, system monitoring, or wireless configuration management. Shared hosting environments where multiple applications share the same Node.js runtime are also at increased risk.
• nodejs: Use npm audit to identify vulnerable dependencies.
npm audit systeminformation• nodejs: Check for the presence of systeminformation in package.json and verify the version is less than 5.23.7.
grep "systeminformation" package.json• generic web: Monitor Node.js application logs for unusual command execution attempts related to network interfaces or wireless configurations. Look for patterns resembling shell commands within SSID strings.
disclosure
Estado del Exploit
EPSS
2.10% (84% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-56334 es actualizar a la versión 5.23.7 de systeminformation, donde la vulnerabilidad ha sido corregida. Dado que no existen mitigaciones alternativas, la actualización es esencial. Antes de actualizar, se recomienda realizar una copia de seguridad de la aplicación y del entorno para poder revertir en caso de problemas. Después de la actualización, es crucial verificar que la nueva versión se ha instalado correctamente y que la funcionalidad de la aplicación no se ha visto afectada. Se recomienda realizar pruebas exhaustivas en un entorno de pruebas antes de implementar la actualización en producción.
Actualice la biblioteca systeminformation a la versión 5.23.7 o superior. Esto corrige la vulnerabilidad de inyección de comandos en la función getWindowsIEEE8021x (SSID). Ejecute `npm install systeminformation@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-56334 is a Command Injection vulnerability in the systeminformation Node.js library, allowing attackers to execute OS commands through unsanitized SSIDs. It affects versions up to 5.23.7.
You are affected if you are using systeminformation version 5.23.7 or earlier. Check your package.json file to determine your version.
Upgrade to version 5.23.7 or later of the systeminformation package using npm install systeminformation@latest. There are no known workarounds.
As of December 2024, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the systeminformation GitHub repository for updates and advisories: https://github.com/systeminformation/systeminformation
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.