systeminformation漏洞警示:Node.js组件或危及1600万Windows用户
该漏洞被标识为CVE-2025-68154,一旦被利用,可能导致基于Windows的应用程序面临操作系统命令注入的风险,攻击者或能借此执行任意代码并掌控受影响的服务器。
安全研究人员在广受欢迎的Node.js库systeminformation中发现了一个高危漏洞,该库被数百万开发者用于获取系统指标。此漏洞编号为CVE-2025-68154,会让运行在Windows平台上的应用程序暴露于命令注入攻击之下,攻击者可能借此执行恶意指令并控制服务器。
这个库每月的下载量“超过1600万次”,因此漏洞的影响范围极广,波及所有依赖该库来获取硬件和操作系统数据的监控仪表板、CLI工具以及Web应用程序。

漏洞技术分析
漏洞存在于库的fsSize()函数中,尤其影响Windows系统。该函数原本用于返回文件系统大小,但由于缺乏输入净化机制,成为攻击者的突破口。
根据安全公告:“可选的驱动器参数未经净化就直接拼接到PowerShell命令中,当用户控制的输入进入此函数时,可能导致任意命令被执行。”这意味着如果应用程序允许用户指定查询的驱动器(监控工具中常见功能),攻击者就能注入恶意PowerShell命令而非有效的驱动器盘符。
潜在危害
漏洞被利用后后果严重。由于注入的命令以Node.js进程权限运行,攻击者可借此实现远程代码执行。安全公告列出了几种关键攻击场景:完全控制:攻击者能“以Node.js进程权限执行任意命令”,彻底劫持应用程序逻辑数据窃取:漏洞可让攻击者“读取敏感文件并从托管服务器窃取数据”横向移动:入侵后攻击者可“利用被攻陷系统攻击内部网络”从低级监控工具跳转至关键基础设施勒索软件:最坏情况下,漏洞可用于“下载并执行恶意负载”,最终部署勒索软件
影响范围与修复方案
该漏洞影响Windows平台上的systeminformation 5.27.13及以下版本,Linux、macOS和其他类Unix系统不受影响。开发者应立即升级至5.27.14版本,该版本通过引入适当的净化机制消除了威胁。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
最新消息称国行苹果iPhone 18 Pro Max电池容量达到了5391mAh增幅11.78%
国行iPhone18ProMax电池容量达5391mAh,较前代增幅11 78%,增量近568mAh;Pro机型仅小幅提升68mAh。爆料称最终数据待验证,若属实则续航将显著增强。
HMD发布四款诺基亚功能手机 配备AI按键与可拆卸电池
HMDGlobal推出4款诺基亚功能手机,均配1450mAh可拆卸电池及独立AI按键,支持语音控制,免费180天后付费。部分机型带摄像头,支持microSD卡扩展至32GB,具双SIM卡、3 5mm接口及蓝牙5 0。
云南以旧换新补贴扩围 新增智能影音与无人机
云南省自2026年7月起扩大消费品以旧换新补贴范围,新增智能门锁、智能影音、无人机、数码相机等数码智能产品及吸油烟机、燃气灶、洗碗机、净水器等家电。按最终售价15%补贴,每类每件最高1500元,商户报名无限制。
小米Redmi 7英寸高性能手机传闻即将发布
最近圈内又有新动静了。据博主 @数码闲聊站 今天爆料,某家厂商的子系列下一代打算推出两款屏幕尺寸差异明显的机型:一块是 6 59 英寸的中屏 Pro,另一块则是 7 英寸的巨屏性能机。从该博主以往的爆料习惯来看,基本可以锁定是小米 REDMI 品牌的产品线布局。 有意思的是,早在今年 2 月,这位博
深光影像AF35mmF2.2CE全画幅镜头E/L卡口739元起售
深光影像AF35mmF2 2CE全画幅镜头开售,提供E卡口和L卡口,标准版七百三十九元,套装版七百八十九元。全金属机身,重约一百七十五克,高三十六毫米,滤镜口径五十二毫米,光学结构五组七片,九片光圈叶片,最近对焦零点三五米,支持自动对焦。
- 日榜
- 周榜
- 月榜
相关攻略
2026-07-05 13:32
2026-07-05 13:32
2026-07-05 13:31
2026-07-05 13:31
2026-07-05 13:30
2026-07-05 13:30
2026-07-05 13:30
2026-07-05 13:30
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
热门话题

