文章总结： Node.js库Systeminformation存在高危漏洞CVE-2025-68154，允许攻击者在Windows系统上执行远程代码。漏洞源于fsSize()函数未正确验证用户输入，攻击者可注入恶意PowerShell命令。影响5.27.13及以下版本，开发者需立即更新至5.27.14版本并检查应用是否直接传递用户输入给该函数，可考虑限制硬盘代号作为额外保护层。 综合评分： 90 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,代码审计

Node.js库曝高危漏洞：Windows系统面临远程代码执行攻击风险

网安百色

2025年12月19日 19:16 广西

该漏洞编号为CVE-2025-68154，允许攻击者在Windows计算机上运行恶意代码。所有5.27.13版本均受影响，开发者必须立即更新至5.27.14版本。

Systeminformation 是一个广泛使用的Node.js包，帮助开发者收集有关计算机系统的信息，包括磁盘空间、内存使用和正在运行的进程。

由于许多应用依赖该库，这一漏洞影响了开发社区的大部分成员。漏洞存在于fsSize（）函数中，该函数用于检查可用的磁盘空间。

| 属性 | 价值 | | — | — | | CVE ID | CVE-2025-68154 | | 包装 | 系统信息（NPM） | | 漏洞类型 | 作系统命令注入（CWE-78） | | 受影响版本 | ≤2013年5月27日 | | CVSS评分 | 7.5 | | 攻击向量 | 网络 |

问题出现在该函数接收用户输入以指定要检查哪个驱动器时。代码在使用 PowerShell 命令前不会清理或验证这些输入。

攻击者可以注入额外的命令，而不仅仅是请求关于C盘的信息。他们可以注射类似“C：;Whoami #“用于执行额外命令并揭示系统信息。

只有满足特定条件的应用才会面临风险。应用程序必须在 Windows 上运行，使用 fsSize（） 函数并由用户控制输入，并直接将用户数据传递给该函数。

这主要影响网页应用、API、仪表盘以及允许用户指定查询的硬盘的监控工具。

如果被利用，攻击者可以利用Node.js进程的权限执行任意命令。他们可能下载勒索软件、窃取敏感文件、获得系统控制权，或攻击网络上的其他计算机。

根据公告，开发者必须立即将系统信息更新至5.27.14版本。这个补丁版本通过移除危险字符来正确验证输入。

开发者还应检查他们的应用程序，确保没有直接将用户输入传递给 fsSize（）。考虑允许硬盘代号作为额外的保护层。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

查看原文：《Node.js库曝高危漏洞：Windows系统面临远程代码执行攻击风险》