Vulnerabilidad en systeminformation (CVE-2026-26280)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

19/02/2026

Última modificación:

20/02/2026

Descripción

systeminformation es una biblioteca de información del sistema y del SO para node.js. En versiones anteriores a la 5.30.8, una vulnerabilidad de inyección de comandos en la función wifiNetworks() permite a un atacante ejecutar comandos arbitrarios del SO a través de un parámetro de interfaz de red no saneado en la ruta de código de reintento. En lib/wifi.js, la función wifiNetworks() sanea el parámetro iface en la llamada inicial (línea 437). Sin embargo, cuando el escaneo inicial devuelve resultados vacíos, un reintento de setTimeout (líneas 440-441) llama a getWifiNetworkListIw(iface) con el valor iface original no saneado, que se pasa directamente a execSync(&#39;iwlist ${iface} scan&#39;). Cualquier aplicación que pasa una entrada controlada por el usuario a si.wifiNetworks() es vulnerable a la ejecución arbitraria de comandos con los privilegios del proceso de Node.js. La versión 5.30.8 corrige el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto