CVE-2023-42810 là lỗ hổng chèn lệnh nghiêm trọng trong systeminformation, một thư viện Node.js phổ biến để truy xuất thông tin hệ thống. Lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng, từ đó toàn quyền kiểm soát hệ thống.
Thư viện systeminformation cho Node.JS là bộ sưu tập nguồn mở toàn diện, với khả năng cung cấp dữ liệu chi tiết về phần cứng, hệ thống và hệ điều hành. systeminformation có vai trò không hề nhỏ, khi có tới 8 triệu lượt tải xuống hàng tháng, tổng cộng hơn 200 triệu lượt tải.
CVE-2023-42810 (điểm CVSS 9.8, do Github đánh giá) là lỗ hổng chèn lệnh SSID độc hại trong các hàm `wifiConnections()` và `wifiNetworks()`. Cơ chế khai thác rất đơn giản: hacker sử dụng một yêu cầu độc hại, khai thác lỗ hổng để thực thi từ xa các lệnh tùy ý trên hệ thống đích. Từ đó, hacker có thể truy cập dữ liệu trái phép, thậm chí chiếm quyền hệ thống.
Quản trị viên hệ thống và nhà phát triển cần lưu ý rằng các phiên bản từ 5.0.0 đến 5.21.6 đều bị ảnh hưởng bởi lỗ hổng này.
Để bảo vệ hệ thống và dữ liệu, người dùng cần:
- Nâng cấp kịp thời: Đối với những người sử dụng thư viện, bắt buộc phải chuyển sang phiên bản 5.21.7 trở lên.
- Đảm bảo đầu vào: Nếu không thể nâng cấp ngay, hãy đảm bảo kiểm tra thật kỹ lưỡng chuỗi tham số được chuyển tiếp đến các chức năng `wifiConnections()`, `wifiNetworks()`.
Nguồn: Security Online