Sistem bilgilerini almak için yaygın olarak kullanılan Node.js kitaplığı olan systeminformation’da ciddi bir komut ekleme güvenlik açığı keşfedildi.
CVE-2025-68154 olarak izlenen kusur, uygulamalar kullanıcı girişini güvenlik açığı bulunan işleve aktardığında saldırganların Windows sistemlerinde rastgele komutlar yürütmesine olanak tanıyor.
Güvenlik açığı, disk alanı bilgilerini alan ancak isteğe bağlı sürücü parametresini PowerShell komutlarına aktarmadan önce doğru şekilde doğrulayamayan fsSize() işlevinde bulunmaktadır.
Sebastian Hildebrandt, sistem bilgi paketinin bakımını yapıyor ve en popüler Node.js sistem izleme kütüphaneleri arasında yer alıyor.
Teknik Detaylar
Güvenlik açığı, 197. satırdaki lib/lib/lib/lib/lib/lib/filesystem.js dosyasında ortaya çıkıyor; burada sürücü parametresi, temizleme işlemine tabi tutulmadan doğrudan bir PowerShell komut dizesine birleştirilir.
Bir uygulama kullanıcı girişini kabul edip fsSize()’a ilettiğinde, saldırganlar rastgele PowerShell komutları ekleyebilir.
İlginç bir şekilde, kod tabanı, kullanım aracılığıyla zaten uygun giriş temizleme işlemini uyguluyor. sanitizeShellString() işlevi benzer işlemler için başka yerlerde kullanılır. fsSize() işlevi aynı korumayı uygulamada başarısız oldu.
Saldırı, sürücü parametresine noktalı virgül ve yorum karakterleri enjekte edilerek çalışır.
Saldırgan, orijinal komutun geri kalanını yorumlarken whoami komutunu çalıştıran “C:; whoami #” gibi bir veri yükü sağlayabilir.
Daha karmaşık saldırılar fidye yazılımı indirebilir, hassas dosyaları sızdırabilir veya kalıcı erişim sağlayabilir.
Sebastian Hildebrandt, 16 Aralık 2025’te güvenlik açığını kapatan 5.27.14 sürümünü yayınladı. Geliştiriciler, sistem bilgilerinin tüm örneklerini derhal 5.27.14 veya daha yeni bir sürüme güncellemelidir.
Düzeltme, PowerShell komutunu oluşturmadan önce util.sanitizeShellString() işlevini sürücü parametresine uygulayarak noktalı virgül, dikey çizgi ve komut eklemeyi etkinleştiren diğer özel karakterler gibi tehlikeli karakterleri kaldırır.
Sistem Bilgilerini kullanan kuruluşlar bu güncellemeye derhal öncelik vermelidir.
CVSS’nin 7,5 puanı, özellikle herhangi bir kullanıcı etkileşimi veya kimlik doğrulama gerektirmeden kütüphane düzeyinde yararlanılabileceği göz önüne alındığında, kusurun ciddi yapısını yansıtıyor.
Güvenlik açığı bulunan sürümleri kullanan ve kullanıcı girişini işleyen herhangi bir uygulama, aktif bir güvenlik riski oluşturur.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.