CVE-2026-50289 in systeminformation
要約
〜によって VulDB • 2026年07月17日
systeminformation は、node.js 用のシステムおよび OS 情報ライブラリです。バージョン 5.31.7 より前では、Linux における networkInterfaces() が脆弱性を持ちます。これは、Debian/Ubuntu の interfaces(5) ソースディレクティブを通じて OS コマンドインジェクションが可能になるためです。具体的には、lib/network.js の checkLinuxDCHPInterfaces() 関数が /etc/network/interfaces を読み取り、ファイルコンテンツから source <path> トークンを抽出し、これを引用符なしで cat ${file} 2> /dev/null | grep 'iface\|source' コマンドに補間します。このコマンドは execSync(cmd, util.execOptsLinux) によって実行されます。その結果、シェルメタ文字を含むパスが networkInterfaces() を呼び出すあらゆるプロセス(getStaticData() や getAllData() を介して含む)でコマンドを実行することが可能になります。本問題はバージョン 5.31.7 で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.