Lỗ hổng nghiêm trọng trong thư viện Node.js cho phép tin tặc chạy lệnh trên Windows

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.429 bài viết
Lỗ hổng nghiêm trọng trong thư viện Node.js cho phép tin tặc chạy lệnh trên Windows
WhiteHat Team
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong systeminformation, thư viện Node.js phổ biến được hàng triệu nhà phát triển sử dụng để thu thập thông tin hệ thống. Lỗ hổng này có thể cho phép tin tặc thực thi lệnh từ xa trên các hệ thống Windows nếu ứng dụng xử lý dữ liệu đầu vào không an toàn.
node.png

Lỗ hổng được định danh là CVE-2025-68154, bắt nguồn từ cách thư viện xử lý tham số đầu vào trong quá trình truy vấn dung lượng ổ đĩa. Khi ứng dụng chuyển dữ liệu do người dùng kiểm soát vào hàm bị ảnh hưởng, kẻ tấn công có thể chèn và thực thi các lệnh PowerShell tùy ý.

Nguyên nhân của vấn đề nằm ở hàm fsSize(), vốn được sử dụng để lấy thông tin dung lượng lưu trữ. Trong quá trình xây dựng câu lệnh PowerShell, tham số drive được ghép trực tiếp vào chuỗi lệnh mà không được làm sạch hoặc kiểm tra đầy đủ, dẫn đến nguy cơ chèn lệnh. Đáng chú ý, thư viện đã có sẵn hàm sanitizeShellString() để xử lý các tình huống tương tự, nhưng cơ chế bảo vệ này lại không được áp dụng cho fsSize(), tạo ra một điểm yếu nghiêm trọng trong thiết kế bảo mật.

Kẻ tấn công có thể lợi dụng dấu chấm phẩy và ký tự chú thích để chèn lệnh độc hại. Một chuỗi đầu vào như C:; whoami # có thể khiến hệ thống thực thi lệnh whoami, trong khi phần còn lại của câu lệnh gốc bị vô hiệu hóa. Từ đó, các kịch bản tấn công nguy hiểm hơn hoàn toàn khả thi, bao gồm tải mã độc, đánh cắp dữ liệu nhạy cảm hoặc thiết lập cơ chế truy cập lâu dài vào hệ thống bị xâm nhập.

Với điểm CVSS 7.5, CVE-2025-68154 được xếp vào nhóm nguy hiểm. Do tồn tại ở cấp thư viện, lỗi này có thể ảnh hưởng đồng thời đến nhiều ứng dụng. Việc khai thác không yêu cầu xác thực hay tương tác từ người dùng cuối, khiến các hệ thống sử dụng phiên bản bị ảnh hưởng đối mặt với rủi ro bị tấn công.

Sebastian Hildebrandt, tác giả và người duy trì thư viện systeminformation, đã phát hành bản cập nhật 5.27.14 vào ngày 16/12/2025 để khắc phục lỗ hổng. Bản vá bổ sung cơ chế làm sạch đầu vào cho tham số drive, loại bỏ các ký tự đặc biệt có thể bị lợi dụng trong quá trình thực thi PowerShell.

Các tổ chức và đội ngũ phát triển được khuyến cáo khẩn trương cập nhật systeminformation lên phiên bản 5.27.14 hoặc mới hơn, đồng thời rà soát toàn bộ ứng dụng và dịch vụ có liên quan. Với mức độ phổ biến rộng rãi của thư viện này trong môi trường doanh nghiệp và phát triển phần mềm, việc vá lỗi kịp thời đóng vai trò quan trọng trong việc giảm thiểu rủi ro và ngăn chặn các kịch bản khai thác trong thực tế.
Theo Cyber Press
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cisco cảnh báo làn sóng tấn công khai thác lỗ hổng zero-day trong AsyncOS
  • Lỗ hổng trong Desktop Window Manager cho phép kẻ tấn công leo thang đặc quyền cục bộ
  • Chrome vá khẩn hai lỗ hổng nguy hiểm cho phép tin tặc thực thi mã từ xa
  • Lỗ hổng zero-day trong Chromium đe dọa hàng loạt trình duyệt dùng hàng ngày
  • React vá khẩn loạt lỗ hổng mới trong RSC: Nguy cơ tê liệt hệ thống và lộ mã nguồn
  • Router Sierra Wireless tồn tại lỗ hổng nguy hiểm, mở đường cho tấn công RCE
    • Thẻ
    command injection cve-2025-68154 node.js systeminformation windows
    Bên trên