CVE-2026-50289 in systeminformation情報

要約

〜によって VulDB • 2026年07月17日

systeminformation は、node.js 用のシステムおよび OS 情報ライブラリです。バージョン 5.31.7 より前では、Linux における networkInterfaces() が脆弱性を持ちます。これは、Debian/Ubuntu の interfaces(5) ソースディレクティブを通じて OS コマンドインジェクションが可能になるためです。具体的には、lib/network.js の checkLinuxDCHPInterfaces() 関数が /etc/network/interfaces を読み取り、ファイルコンテンツから source <path> トークンを抽出し、これを引用符なしで cat ${file} 2> /dev/null | grep 'iface\|source' コマンドに補間します。このコマンドは execSync(cmd, util.execOptsLinux) によって実行されます。その結果、シェルメタ文字を含むパスが networkInterfaces() を呼び出すあらゆるプロセス(getStaticData() や getAllData() を介して含む)でコマンドを実行することが可能になります。本問題はバージョン 5.31.7 で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年06月04日

モデレーション

承諾済み

エントリ

VDB-379942

EPSS

0.00000

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!