Vulnerabilidad en las propiedades y funciones de un objeto en el paquete systeminformation (CVE-2020-7778)
Tipo:
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Gravedad:
Alta
Fecha publicación :
26/11/2020
Última modificación:
01/12/2020
Descripción
Esto afecta al paquete systeminformation versiones anteriores a 4.30.2. El atacante puede sobrescribir las propiedades y funciones de un objeto, lo que puede conllevar a ejecutar comandos del Sistema Operativo
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
- cpe:2.3:a:systeminformation:systeminformation:*:*:*:*:*:node.js:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/EffectRenan/b434438938eed0b21b376cedf5c81e80 (Origen: MISC)
- https://github.com/sebhildebrandt/systeminformation/blob/master/lib/internet.js (Origen: MISC)
- https://github.com/sebhildebrandt/systeminformation/commit/11103a447ab9550c25f1fbec7e6d903720b3fea8%23diff-970ae648187190f86bafc8f193b7538200eba164fad0674428b6487582c089cc (Origen: MISC)
- https://github.com/sebhildebrandt/systeminformation/commit/73dce8d717ca9c3b7b0d0688254b8213b957f0fa%23diff-970ae648187190f86bafc8f193b7538200eba164fad0674428b6487582c089cc (Origen: MISC)
- https://snyk.io/vuln/SNYK-JS-SYSTEMINFORMATION-1043753 (Origen: MISC)