В популярном npm-пакете под названием systeminformation обнаружена критическая уязвимость, которая ставит под угрозу миллионы Windows-систем, открывая возможность удалённого выполнения кода (RCE) и эскалации привилегий. Проблема, получившая идентификатор CVE-2024-56334 , подчёркивает важность безопасного программирования при работе с ненадёжными данными от пользователей.
Уязвимость затрагивает функцию getWindowsIEEE8021x в версиях пакета systeminformation ≤5.23.6. Проблема вызвана недостаточной проверкой данных из поля SSID Wi-Fi, которые передаются напрямую в командную строку Windows (cmd.exe). Это открывает путь для внедрения вредоносных команд, которые выполняются на уровне операционной системы.
Согласно данным с GitHub, SSID передаётся через команды “netsh wlan show interface” и cmd.exe /d /s /c “netsh wlan show profiles” без надлежащей проверки. Злоумышленники могут создать специальные имена SSID, содержащие вредоносный код, чтобы получить полный контроль над системой жертвы.
Пример уязвимости показывает, как атакующий может настроить точку доступа с SSID, включающим команды, такие как “a” | ping /t 127.0.0.1 &” или “a” | %SystemDrive%aa.exe &”. Пользователь, подключившийся к такой сети, подвергается риску выполнения вредоносных операций.
Для устранения уязвимости разработчик пакета выпустил обновление 5.23.7, в которой была реализована проверка и очистка входных данных. Все разработчики, использующие данный пакет, настоятельно рекомендуется обновить свои проекты для предотвращения атак.
Уязвимость была обнаружена исследователем @xAiluros, который также предоставил доказательство концепции и описание проблемы. Потенциальные риски включают удалённое выполнение кода, несанкционированный доступ к данным и нарушение работы системы. Базовый показатель CVSS v3 для этой уязвимости составляет 7.8, что подчёркивает её критичность.
Для защиты своих систем рекомендуется как можно скорее обновить пакет systeminformation до версии 5.23.7.