CVE-2026-50289 in systeminformation
Sumário
de VulDB • 18/07/2026
systeminformation é uma biblioteca de informações do sistema e do SO para node.js. Antes da versão 5.31.7, a função networkInterfaces() no Linux está vulnerável à injeção de comandos OS através da diretiva source interfaces(5) do Debian/Ubuntu, porque lib/network.js checkLinuxDCHPInterfaces() lê /etc/network/interfaces, extrai um token <path> source do conteúdo do arquivo e o interpola sem aspas em cat ${file} 2> /dev/null | grep 'iface\|source' executado por execSync(cmd, util.execOptsLinux), permitindo que um caminho contendo metacaracteres de shell execute comandos em qualquer processo que chame networkInterfaces(), incluindo via getStaticData() e getAllData(). Este problema foi corrigido na versão 5.31.7.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.