System Information Library for Node.JS

Die Schwachstelle betrifft die System Information Library for Node.JS, ein quelloffenes npm-Paket, das Funktionen zum Auslesen detaillierter Hardware-, System- und Betriebssysteminformationen bereitstellt. Mehrere Funktionen der Bibliothek – etwa zum Abfragen der Netzwerklatenz, zur Erreichbarkeitsprüfung einer Website, zur Abfrage laufender Dienste oder der Prozesslast – verarbeiten übergebene Parameter, ohne sie ausreichend zu prüfen. Dadurch entsteht eine Möglichkeit zur Befehlsinjektion: Ein Angreifer kann über einen entsprechend präparierten Parameter eigene Betriebssystembefehle einschleusen und auf dem betroffenen System ausführen lassen. Genutzt wird dabei insbesondere, dass anstelle einer Zeichenkette manipulierte Werte übergeben werden. Betroffen sind alle Anwendungen, die diese Bibliothek einbinden und Parameter dieser Funktionen aus nicht vertrauenswürdigen Quellen befüllen. Da das Paket weit verbreitet als Abhängigkeit in Node.js-Projekten eingesetzt wird, kann die Lücke eine große Zahl von Server- und Backend-Anwendungen treffen.