Uma vulnerabilidade crítica, identificada como CVE-2024-56334, foi descoberta no popular pacote systeminformation do Node.js, utilizado para coletar informações sobre sistemas operacionais. Com mais de 8 milhões de downloads mensais e 330 milhões de downloads acumulados, a falha expõe milhões de sistemas ao risco de ataques de execução remota de código (RCE) e escalada de privilégios, dependendo do uso do pacote.

A falha reside na função getWindowsIEEE8021x, projetada para obter informações de SSID de redes Wi-Fi no Windows. O problema ocorre porque a função não sanitiza adequadamente os dados recebidos do SSID antes de passá-los como parâmetro para o cmd.exe. Isso permite que um invasor insira comandos maliciosos no SSID de uma rede Wi-Fi, que são executados automaticamente quando um sistema vulnerável se conecta à rede e a função é chamada.

O pesquisador de segurança xAiluros, responsável por identificar a vulnerabilidade, demonstrou sua gravidade ao escalar privilégios dentro de um serviço Windows. Um invasor poderia criar um ponto de acesso Wi-Fi malicioso e, ao atrair dispositivos vulneráveis, obter controle sobre eles ao executar comandos embutidos no SSID. Exemplos de payloads incluem ataques como flood de ping infinito ou execução de arquivos maliciosos armazenados no sistema.

A vulnerabilidade afeta as versões do systeminformation até a 5.23.6, mas já foi corrigida na versão 5.23.7. A equipe responsável pelo pacote lançou a atualização imediatamente após a identificação do problema, reforçando as medidas de segurança.