CVE-2026-26280 in systeminformation
요약
\~에 의해 VulDB • 2026. 05. 27.
systeminformation은 Node.js용 시스템 및 OS 정보 라이브러리입니다. 5.30.8 이전 버전에서 `wifiNetworks()` 함수의 명령어 삽입 취약점으로 인해 공격자가 재시도 코드 경로에서 비검증 처리된 네트워크 인터페이스 매개변수를 통해 임의의 OS 명령어를 실행할 수 있습니다. `lib/wifi.js`에서 `wifiNetworks()` 함수는 초기 호출 시 `iface` 매개변수를 검증합니다(437행). 그러나 초기 스캔이 빈 결과를 반환하면, `setTimeout` 재시도(440-441행)가 **원본 비검증 처리된** `iface` 값을 사용하여 `getWifiNetworkListIw(iface)`를 호출하며, 이 값은 `execSync('iwlist ${iface} scan')`에 직접 전달됩니다. `si.wifiNetworks()`에 사용자 제어 입력을 전달하는 모든 애플리케이션은 Node.js 프로세스의 권한으로 임의 명령어 실행에 취약합니다. 버전 5.30.8에서 해당 문제가 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.