Blog sobre informática, tecnología, privacidad y seguridad. Con entradas sobre noticias con información completa. Especial atención a todo tipo de malware, sobre todo el ransomware, ataques DDoS, temas de IA, así como análisis de malware y spyware. También se tratarán novedades de software, manuales, tutoriales y documentación de herramientas de sysadmin, hacking , networking, hardware, etc
jueves, 18 de diciembre de 2025
Vulnerabilidad crítica en biblioteca de Node.js expone sistemas Windows a ataques RCE
Una vulnerabilidad crítica en una popular librería de Node.js expone los sistemas Windows a ataques de ejecución remota de código. Se ha descubierto una grave falla de seguridad en systeminformation, una popular librería de Node.js utilizada por miles de desarrolladores. La vulnerabilidad, etiquetada como CVE-2025-68154, permite a los atacantes ejecutar código malicioso en computadoras con Windows. Todas las versiones hasta la 5.27.13 son afectadas y los desarrolladores deben actualizar a la versión 5.27.14 inmediatamente. systeminformation es un paquete de Node.js ampliamente utilizado que ayuda
Se ha descubierto una grave falla de seguridad en systeminformation, una biblioteca popular de Node.js utilizada por miles de desarrolladores.
La vulnerabilidad, etiquetada como CVE-2025-68154, permite a los atacantes ejecutar código malicioso en computadoras con Windows. Todas las versiones hasta la 5.27.13 se ven afectadas, y los desarrolladores deben actualizar a la versión 5.27.14 inmediatamente.
Systeminformation es un paquete de Node.js ampliamente utilizado que ayuda a los desarrolladores a recopilar información sobre los sistemas informáticos, incluyendo el espacio en disco, el uso de memoria y los procesos en ejecución.
Debido a que muchas aplicaciones dependen de esta biblioteca, esta vulnerabilidad afecta a una gran parte de la comunidad de desarrollo. La vulnerabilidad existe en la función fsSize(), que comprueba la cantidad de espacio libre en disco.
Atributo
Valor
ID de CVE
CVE-2025-68154
Paquete
systeminformation (npm)
Tipo de Vulnerabilidad
Inyección de Comando del Sistema Operativo (CWE-78)
Versiones Afectadas
≤5.27.13
Puntuación CVSS
7.5
Vector de Ataque
Red
El problema ocurre cuando esta función recibe la entrada del usuario para especificar qué unidad verificar. El código no limpia ni valida esta entrada antes de usarla en un comando de PowerShell.
Un atacante puede inyectar comandos adicionales en lugar de simplemente solicitar información sobre la unidad C:. Podrían inyectar algo como “C:; whoami #” para ejecutar comandos adicionales y revelar información del sistema.
Solo las aplicaciones que cumplen ciertas condiciones están en riesgo. La aplicación debe ejecutarse en Windows, usar la función fsSize() con la entrada controlada por el usuario y pasar los datos del usuario directamente a la función.
Esto afecta principalmente a las aplicaciones web, APIs, paneles de control y herramientas de monitoreo que permiten a los usuarios especificar qué unidad consultar.
Si se explota, los atacantes podrían ejecutar comandos arbitrarios con los privilegios del proceso de Node.js. Podrían descargar ransomware, robar archivos confidenciales, obtener control del sistema o atacar otras computadoras en la red.
Según el asesoramiento, los desarrolladores deben actualizar systeminformation a la versión 5.27.14 inmediatamente. Esta versión parcheada valida correctamente la entrada eliminando los caracteres peligrosos.
Los desarrolladores también deben revisar sus aplicaciones para asegurarse de que no estén pasando la entrada del usuario directamente a fsSize(). Considera permitir letras de unidad como una capa de protección adicional.
Esta vulnerabilidad resalta la importancia crítica de mantener las dependencias de software actualizadas y validar la entrada del usuario antes de usarla en los comandos del sistema. Las organizaciones deben priorizar este parche como parte del mantenimiento regular de seguridad.
No hay comentarios:
Publicar un comentario