systeminformation漏洞警示：Node.js组件或危及1600万Windows用户

该漏洞被标识为CVE-2025-68154，一旦被利用，可能导致基于Windows的应用程序面临操作系统命令注入的风险，攻击者或能借此执行任意代码并掌控受影响的服务器。

安全研究人员在广受欢迎的Node.js库systeminformation中发现了一个高危漏洞，该库被数百万开发者用于获取系统指标。此漏洞编号为CVE-2025-68154，会让运行在Windows平台上的应用程序暴露于命令注入攻击之下，攻击者可能借此执行恶意指令并控制服务器。

这个库每月的下载量“超过1600万次”，因此漏洞的影响范围极广，波及所有依赖该库来获取硬件和操作系统数据的监控仪表板、CLI工具以及Web应用程序。

漏洞技术分析

漏洞存在于库的fsSize()函数中，尤其影响Windows系统。该函数原本用于返回文件系统大小，但由于缺乏输入净化机制，成为攻击者的突破口。

根据安全公告：“可选的驱动器参数未经净化就直接拼接到PowerShell命令中，当用户控制的输入进入此函数时，可能导致任意命令被执行。”这意味着如果应用程序允许用户指定查询的驱动器（监控工具中常见功能），攻击者就能注入恶意PowerShell命令而非有效的驱动器盘符。

潜在危害

漏洞被利用后后果严重。由于注入的命令以Node.js进程权限运行，攻击者可借此实现远程代码执行。安全公告列出了几种关键攻击场景：完全控制：攻击者能“以Node.js进程权限执行任意命令”，彻底劫持应用程序逻辑数据窃取：漏洞可让攻击者“读取敏感文件并从托管服务器窃取数据”横向移动：入侵后攻击者可“利用被攻陷系统攻击内部网络”从低级监控工具跳转至关键基础设施勒索软件：最坏情况下，漏洞可用于“下载并执行恶意负载”，最终部署勒索软件

影响范围与修复方案

该漏洞影响Windows平台上的systeminformation 5.27.13及以下版本，Linux、macOS和其他类Unix系统不受影响。开发者应立即升级至5.27.14版本，该版本通过引入适当的净化机制消除了威胁。