Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-26245

Vulnerabilidad en la función si.inetChecksite() en npm package systeminformation (CVE-2020-26245)

Tipo: 
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Gravedad: 
Alta
Fecha publicación : 
27/11/2020
Última modificación: 
03/12/2020
Descripción
npm package systeminformation anterior a versión 4.30.5, es vulnerable a una Contaminación de Prototipos conllevando a una Inyección de Comandos. El problema se solucionó con una reescritura de saneamiento de shell para evitar problemas de contaminación del prototipo. Este problema es corregido en la versión 4.30.5. Si no puede actualizar, asegúrese de comprobar o sanear las cadenas de parámetros de servicio que son pasadas a la función si.inetChecksite()
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:systeminformation:systeminformation:*:*:*:*:*:node.js:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos