文章总结： Node.js流行库systeminformation存在高危漏洞CVE-2025-68154，允许攻击者在Windows上通过fsSize函数注入恶意PowerShell命令以实现远程代码执行。此漏洞影响范围巨大，涉及超1600万月活跃用户，可导致服务器被完全控制、数据泄露或勒索软件攻击。受影响版本为5.27.13及以下，强烈建议开发者立即升级至5.27.14版本以修复。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,安全运营

Node.js 警报 漏洞可能导致超过 1600 万月活跃用户遭受 Windows 远程代码执行攻击

Ots安全

2025年12月18日 23:19 广东

威胁简报

恶意软件

漏洞攻击

系统信息库（systeminformation）中发现了一个高危漏洞。该系统信息库是一个广受欢迎的Node.js库，被数百万开发者用于检索系统指标。该漏洞编号为CVE-2025-68154，它会使基于Windows的应用程序面临操作系统命令注入的风险，攻击者可能利用该漏洞执行任意代码并控制受影响的服务器。

该库号称“每月下载量超过 1600 万次”，因此该漏洞的影响范围非常大，会影响依赖该库获取硬件和操作系统数据的监控仪表板、CLI 工具和 Web 应用程序。

该漏洞存在于库的 fsSize() 函数中，尤其是在 Windows 系统上运行时。此函数旨在返回文件系统大小，但由于缺乏输入清理，它为攻击者敞开了大门。

根据安全公告，“可选的驱动器参数会直接连接到 PowerShell 命令中，而没有经过清理，因此当用户控制的输入到达此函数时，可以执行任意命令。”

这意味着，如果应用程序允许用户指定要查询的驱动器（监控工具中很常见），攻击者就可以注入恶意 PowerShell 命令，而不是有效的驱动器号。

漏洞利用的后果非常严重。由于注入的命令以 Node.js 进程的权限运行，攻击者可以触发远程代码执行 (RCE)。

该安全公告概述了几个关键的攻击场景：

• 完全攻陷：攻击者可以“以 Node.js 进程权限执行任意命令”，从而有效地劫持应用程序逻辑。
• 数据窃取：该漏洞可能允许攻击者从托管服务器“读取敏感文件并窃取数据”。
• 横向移动：一旦进入系统内部，攻击者就可以“利用被入侵的系统攻击内部网络”资源，从低级监控工具转向关键基础设施。
• 勒索软件：在最糟糕的情况下，这种漏洞可能被用来“下载和执行恶意载荷”，从而导致勒索软件的部署。

该漏洞影响Windows平台上的systeminformation版本5.27.13及以下版本。Linux、macOS和其他基于Unix的系统不受影响。

敦促开发者立即升级到 5.27.14 版本，该版本引入了适当的清理措施来消除威胁。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

查看原文：《Node.js 警报 漏洞可能导致超过 1600 万月活跃用户遭受 Windows 远程代码执行攻击》