Post #4070

Сегодня без Wi-Fi Недавно эксперты выявили серьёзную уязвимость в npm‑пакете systeminformation. Эта проблема позволяет злоумышленникам удалённо выполнять код и повышать привилегии в Windows через подключение к специально настроенному SSID Wi‑Fi. В функции getWindowsIEEE8021x SSID не очищается перед передачей в cmd.exe, что позволяет злоумышленникам выполнять произвольные команды ОС, например: a" | ping /t 127.0.0.1 & a" | %SystemDrive%\a\a.exe & Разработчики уже выпустили исправление в версии 5.23.7. Если вы используете этот пакет — рекомендуется обновиться. Впрочем, подобные проблемы в open-source репозиториях, не новость, по статистике snyk, в том же npm за неделю обнаруживаются около 30 репозиториев с вирусами или серьёзными уязвимостями. НеКасперский