CVE-2026-50289 in systeminformation
الملخص
بحسب VulDB • 17/07/2026
systeminformation هي مكتبة لمعلومات النظام ونظام التشغيل (OS) مخصصة لـ node.js. قبل الإصدار 5.31.7، كانت دالة networkInterfaces() على نظام Linux عرضة لإحقاق أوامر النظام (OS command injection) عبر توجيه المصدر في ملفات واجهات interfaces(5) الخاصة بـ Debian/Ubuntu، وذلك لأن lib/network.js تتحقق من واجهات DHCP لنظام Linux ()checkLinuxDCHPInterfaces() بقراءة ملف /etc/network/interfaces، واستخراج رمز <path> للمصدر من محتوى الملف، وإدراجه دون اقتباس في الأمر `cat ${file} 2> /dev/null | grep 'iface\|source'` الذي يُنفَّذ بواسطة execSync(cmd, util.execOptsLinux)، مما يسمح لمسار يحتوي على أحرف خاصة بالأصداف (shell metacharacters) بتنفيذ أوامر ضمن أي عملية تستدعي networkInterfaces()، بما في ذلك عبر getStaticData() وgetAllData(). تم إصلاح هذه المشكلة في الإصدار 5.31.7.
Once again VulDB remains the best source for vulnerability data.