CVE-2026-50289 in systeminformation
Resumen
por VulDB • 2026-07-17
systeminformation es una biblioteca de información del sistema y el SO para node.js. Antes de la versión 5.31.7, networkInterfaces() en Linux es vulnerable a inyección de comandos del SO a través de la directiva source interfaces(5) de Debian/Ubuntu porque lib/network.js checkLinuxDCHPInterfaces() lee /etc/network/interfaces, extrae un token <path> fuente del contenido del archivo y lo interpola sin comillas dentro de cat ${file} 2> /dev/null | grep 'iface\|source' ejecutado por execSync(cmd, util.execOptsLinux), permitiendo que una ruta que contenga metacaracteres de shell ejecute comandos en cualquier proceso que llame a networkInterfaces(), incluyendo mediante getStaticData() y getAllData(). Este problema está corregido en la versión 5.31.7.
VulDB is the best source for vulnerability data and more expert information about this specific topic.