Critical Vulnerability in Popular Node.js Library Exposes Windows Systems to RCE Attacks
2025/12/18 CyberSecurityNews — 大勢の開発者に人気の Node.js ライブラリ systeminformation に、深刻なセキュリティ脆弱性が存在することが公表された。この脆弱性を悪用する攻撃者は、Windows コンピュータ上で悪意のコードを実行する可能性がある。この脆弱性 CVE-2025-68154 が影響を及ぼす範囲は、5.27.13 以下の全バージョンである。したがって、開発者たちは、バージョン 5.27.14 へと速やかにアップデートする必要がある。
広く使用されている Node.js パッケージ systeminformation は、コンピュータ・システムのディスク容量/メモリ使用量/実行中のプロセスなどの情報を、開発者のために収集する。
このライブラリには数多くのアプリケーションが依存しているため、脆弱性 CVE-2025-68154 は開発コミュニティの大部分に影響を及ぼす。この脆弱性の原因は、空きディスク容量を確認する fsSize() 関数に存在するバグにある。
| Attribute | Value |
|---|---|
| CVE ID | CVE-2025-68154 |
| Package | systeminformation (npm) |
| Vulnerability Type | OS Command Injection (CWE-78) |
| Affected Versions | ≤5.27.13 |
| CVSS Score | 7.5 |
| Attack Vector | Network |
この問題が発生するのは、チェックするドライブを指定するユーザー入力を、fsSize() が受け取るときである。具体的に言うと、この入力データをクリーンアップ/検証せずに、PowerShell コマンドで受け渡すことに、この問題は起因する。
したがって攻撃者は、たとえば “C:” ドライブに関する情報を要求するだけではなく、追加コマンドの挿入が可能になる。”C:; whoami #” のような入力により追加のコマンドを実行する攻撃者は、機密情報の漏洩を引き起こす可能性がある。
この問題に直面するのは、特定の条件を満たすアプリケーションのみである。そのアプリケーションは、Windows 上で実行され、ユーザーが制御する入力データを、直接 fsSize() 関数に渡す設計を用いるものだ。
この影響を受けると推定されるのは、ユーザーが照会するドライブを指定できる Web アプリケーション/API/ダッシュボード/監視ツールなどである。
この脆弱性を攻撃者が悪用すると、Node.js プロセスの権限で任意のコマンドが実行されてしまう。その結果として考えられるのは、ランサムウェアのダウンロード/機密ファイルの窃取/システムの制御権の取得/ネットワーク上の他のコンピュータへの攻撃などである。
systeminformation のアドバイザリによると、開発者にとって必要なことは、バージョン 5.27.14 への速やかな更新となる。このパッチ適用版では、入力が適切に検証され、危険な文字が削除される。
さらに、開発者が確認すべきことは、対象アプリケーションがユーザー入力を fsSize() に直接渡していないことである。また、追加の保護策として、許可されたドライブ文字のみを受け付ける方式を検討する必要がある。
この脆弱性により重要性が示されるのは、システム・コマンドで使用するユーザー入力の事前の検証と、ソフトウェアの依存関係を最新状態に維持することである。
この問題の原因は、ライブラリが外部から受け取った情報を、そのままWindowsの命令(PowerShell)として実行しようとする点にあります。具体的に言うと、ディスク容量を調べる fsSize() 関数は、調べたいドライブ名を受け取る際に、その内容の安全性を事前に確認せずに処理します。そのため、ドライブ名の後ろに別の命令を挿入されると、それを正規の命令の一部だと誤解したシステムにより、そのまま実行されてしまいます。ご利用のチームは、ご注意ください。よろしければ、Node.js での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.