CVE-2026-50289 in systeminformationالمعلومات

الملخص

بحسب VulDB • 17/07/2026

systeminformation هي مكتبة لمعلومات النظام ونظام التشغيل (OS) مخصصة لـ node.js. قبل الإصدار 5.31.7، كانت دالة networkInterfaces() على نظام Linux عرضة لإحقاق أوامر النظام (OS command injection) عبر توجيه المصدر في ملفات واجهات interfaces(5) الخاصة بـ Debian/Ubuntu، وذلك لأن lib/network.js تتحقق من واجهات DHCP لنظام Linux ()checkLinuxDCHPInterfaces() بقراءة ملف /etc/network/interfaces، واستخراج رمز <path> للمصدر من محتوى الملف، وإدراجه دون اقتباس في الأمر `cat ${file} 2> /dev/null | grep 'iface\|source'` الذي يُنفَّذ بواسطة execSync(cmd, util.execOptsLinux)، مما يسمح لمسار يحتوي على أحرف خاصة بالأصداف (shell metacharacters) بتنفيذ أوامر ضمن أي عملية تستدعي networkInterfaces()، بما في ذلك عبر getStaticData() وgetAllData(). تم إصلاح هذه المشكلة في الإصدار 5.31.7.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

04/06/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379942

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!