CVE-2021-21315 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Systeminformation 库存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可构造恶意输入，执行非法操作系统命令，导致系统被完全控制。

🔍 **CWE**：CWE-78 (OS命令注入)。 🐛 **缺陷**：外部输入数据在构造系统命令时，**未正确过滤**特殊字符和命令，导致恶意代码注入。

📦 **组件**：Node.js 库 **systeminformation**。 👤 **厂商**：sebhildebrandt。 📅 **时间**：2021-02-16 公布。

🔓 **权限**：以运行该 Node.js 应用的权限执行命令。 📊 **数据**：虽 CVSS 显示 C:N，但实际可执行任意命令，可能导致 **I:H** (高完整性破坏) 和后续数据泄露。

🚪 **门槛**：CVSS 显示 **AV:L** (本地访问)。 🔑 **条件**：通常需本地访问或特定 API 接口暴露，无需用户交互 (UI:N)，权限要求低 (PR:N)。

💻 **Exp**：GitHub 上已有多个 PoC/Exploit。 🛠️ **语言**：包括 Python、Rust 等脚本。 🎯 **功能**：部分 PoC 可直接获取 **Reverse Shell**。

🔎 **自查**：检查 npm 依赖中是否包含 **systeminformation** 包。 📝 **代码**：审查调用 `si.inetLatency()`, `si.inetChecksite()`, `si.services()`, `si.processLoad()` 等函数的地方。

🛡️ **修复**：官方已发布修复补丁。 📌 **版本**：需升级至 **>=5.3.1** 版本。 🔗 **参考**：GitHub Advisory GHSA-2m8v-572m-ff2v。

⚠️ **规避**：若无法升级，务必对传入上述函数的参数进行 **严格校验**。 ✅ **措施**：只允许字符串，**拒绝数组**；对字符串进行严格的 **Sanitization (清洗)**。

🔥 **优先级**：**高**。 ⚡ **理由**：命令注入是高危漏洞，且已有现成 Exploit，极易被利用获取服务器权限，建议立即修复。