Lỗ hổng trong thư viện Node.js cho phép hacker chiếm quyền điều khiển Windows
Lỗ hổng trong thư viện Node.js cho phép hacker chiếm quyền điều khiển Windows
Một lỗ hổng command injection vừa được phát hiện trong thư viện systeminformation thư viện Node.js được hàng triệu ứng dụng sử dụng để theo dõi hệ thống. Lỗ hổng này mở toang cánh cửa cho phép tin tặc thực thi các lệnh trái phép trên máy chủ Windows từ xa. Với mã định danh CVE-2025-68154 và điểm số nguy hiểm 7.5, lỗi bảo mật này đang trực tiếp đe dọa bất kỳ ứng dụng nào cho phép người dùng nhập dữ liệu liên quan đến thông tin ổ đĩa mà không được kiểm soát chặt chẽ.
Căn nguyên của vấn đề nằm ở hàm fsSize() bên trong thư viện, vốn có nhiệm vụ truy xuất thông tin về dung lượng lưu trữ của ổ đĩa. Theo các chuyên gia, lỗi kỹ thuật này xuất hiện tại dòng 197 của tệp filesystem.js. Tại đây, tham số drive do người dùng cung cấp được nối trực tiếp vào chuỗi lệnh PowerShell mà không qua bất kỳ bước làm sạch (sanitization) nào.
Điều trớ trêu là nhà phát triển Sebastian Hildebrandt vốn đã xây dựng sẵn hàm sanitizeShellString() để bảo vệ hệ thống, nhưng hàm fsSize() lại “bỏ quên” việc áp dụng lá chắn này.
Kẻ tấn công có thể dễ dàng khai thác sơ hở này bằng cách chèn các ký tự đặc biệt như dấu chấm phẩy (;) hoặc dấu thăng (#) vào tham số ổ đĩa. Ví dụ, thay vì nhập C:, tin tặc có thể gửi một chuỗi tải độc như "C:; whoami #". Khi đó, hệ thống sẽ thực thi lệnh hợp lệ ban đầu của thư viện, sau đó thực thi ngay lập tức lệnh kế tiếp là whoami để kiểm tra đặc quyền, trong khi toàn bộ phần còn lại của câu lệnh gốc bị vô hiệu hóa. Các cuộc tấn công phức tạp hơn có thể dẫn đến việc tải xuống phần mềm tống tiền, đánh cắp dữ liệu nhạy cảm hoặc thiết lập quyền truy cập vĩnh viễn vào hệ thống của nạn nhân.
Điểm cực kỳ nguy hiểm của lỗ hổng này là nó có thể bị khai thác ở cấp độ thư viện mà không yêu cầu bất kỳ sự xác thực hay tương tác nào từ phía người dùng cuối.
Để khắc phục, nhà phát triển đã phát hành phiên bản systeminformation 5.27.14 vào ngày 16/12/2025. Bản vá này đã áp dụng hàm làm sạch dữ liệu cho tham số drive, loại bỏ hoàn toàn các ký tự điều hướng lệnh nguy hiểm.
Khuyến cáo
- Cập nhật ngay lập tức lên phiên bản 5.27.14 hoặc mới hơn.
- Rà soát lại tất cả các luồng dữ liệu đầu vào từ người dùng được chuyển đến các hàm hệ thống.
- Tham khảo thêm các kỹ thuật lập trình an toàn tại DevOps.vn.
Trong kỷ nguyên mã nguồn mở, một sai sót nhỏ trong việc xử lý chuỗi ký tự cũng có thể trở thành “gót chân Achilles” làm sụp đổ cả một hệ thống hạ tầng quan trọng.