Mashhur Node.js kutubxonasidagi kritik zaiflik Windows tizimlarini RCE hujumlariga ochib bermoqda

So‘nggi yillarda Node.js ekotizimi jadal rivojlanib, minglab ochiq kodli kutubxonalar yordamida turli sohalardagi dasturiy yechimlar ishlab chiqilmoqda. Biroq aynan shu ochiq kodli komponentlarga yuqori darajada tayanish ba’zan jiddiy kiberxavfsizlik xatarlarini yuzaga chiqaradi. Yaqinda aniqlangan systeminformation nomli mashhur Node.js kutubxonasidagi zaiflik bunga yaqqol misoldir.

Mazkur zaiflik CVE-2025-68154 identifikatori bilan ro‘yxatga olingan bo‘lib, u Windows operatsion tizimlarida masofadan turib kod bajarish (Remote Code Execution – RCE) imkonini beradi. Xavfsizlik mutaxassislarining baholashiga ko‘ra, ushbu zaiflikning CVSS balli 7,5 bo‘lib, u yuqori xavf darajasiga ega hisoblanadi.

Zaiflikning kelib chiqish sababi

Systeminformation kutubxonasi dasturchilarga disk hajmi, xotira yuklamasi, jarayonlar holati kabi tizim ma’lumotlarini olish imkonini beradi. Zaiflik aynan fsSize() funksiyasida aniqlangan bo‘lib, u diskdagi bo‘sh joyni tekshirish uchun ishlatiladi.

Muammo shundaki, ushbu funksiya foydalanuvchi tomonidan kiritilgan qiymatlarni yetarli darajada tekshirmasdan Windows PowerShell buyruqlariga uzatadi. Natijada hujumchi oddiy disk harfi (masalan, C:) o‘rniga qo‘shimcha buyruqlarni kiritib, OS Command Injection (CWE-78) hujumini amalga oshirishi mumkin.

Masalan, quyidagi kabi zararli kiritma orqali tizimda qo‘shimcha buyruqlar bajarilishi ehtimoli mavjud:

C:; whoami #

Qaysi tizimlar xavf ostida?

Mazkur zaiflik barcha holatlarda avtomatik tarzda ekspluatatsiya qilinmaydi. Quyidagi shartlar bajarilgandagina real xavf yuzaga keladi:

• ilova Windows operatsion tizimida ishlayotgan bo‘lsa;
• systeminformation kutubxonasining 5.27.13 yoki undan past versiyasidan foydalanilsa;
• fsSize() funksiyasiga foydalanuvchi nazoratidagi ma’lumotlar bevosita uzatilsa.

Ayniqsa, foydalanuvchilarga qaysi diskni tekshirish imkonini beruvchi veb-ilovalar, API xizmatlari, monitoring panellari va admin interfeyslar jiddiy xavf ostida qoladi.

Ekspluatatsiya oqibatlari

Agar zaiflikdan muvaffaqiyatli foydalanilsa, hujumchi Node.js jarayoni huquqlari doirasida:

• ixtiyoriy buyruqlarni bajarishi,
• zararli dasturlar yoki ransomware yuklab olishi,
• maxfiy fayllarni o‘g‘irlashi,
• yoki ichki tarmoqdagi boshqa tizimlarga hujum uyushtirishi mumkin.

Bu esa nafaqat bitta ilova, balki butun infratuzilmaning xavfsizligiga jiddiy tahdid soladi.

Yechim va tavsiyalar

Zaiflik ishlab chiquvchilar tomonidan tezkor bartaraf etilgan. Muammo systeminformation 5.27.14 versiyasida tuzatilgan bo‘lib, unda kiritilayotgan ma’lumotlar xavfli belgilaridan tozalanadi va qat’iy validatsiya qilinadi.

Kiberxavfsizlik mutaxassislari quyidagi choralarni ko‘rishni tavsiya etadi:

• systeminformation kutubxonasini zudlik bilan 5.27.14 yoki undan yuqori versiyaga yangilash;
• fsSize() funksiyasiga foydalanuvchi kiritadigan ma’lumotlarni cheklash;
• faqat ruxsat etilgan disk harflarini (masalan, C:, D:) qabul qilish;
• Node.js loyihalarida dependency audit va xavfsizlik skanerlarini muntazam ishga tushirish.

CVE-2025-68154 zaifligi yana bir bor shuni ko‘rsatadiki, hatto keng qo‘llaniladigan va ishonchli hisoblangan kutubxonalar ham vaqt o‘tishi bilan jiddiy xavfsizlik muammolarini keltirib chiqarishi mumkin. Shu sababli dasturchilar va tashkilotlar uchun bog‘liqliklarni doimiy yangilab borish, foydalanuvchi kiritmalarini qat’iy nazorat qilish va muntazam xavfsizlik tekshiruvlarini o‘tkazish bugungi kunda muhim zaruratga aylangan.