Vulnerabilidad alta en la librería systeminformation de Node.js

Publicado hace 5 meses 19-12-2025

Recientemente se ha identificado una nueva vulnerabilidad en el entorno de ejecución Node.js, esta falla se origina específicamente en una función de la paquetería Systeminformation. Esta paquetería contiene librerías encargadas de recopilar información del sistema incluyendo información del espacio en disco, del uso de memoria e información sobre procesos en ejecución. Esta vulnerabilidad fue registrada con el identificador CVE-2025-68154 y se le asigno una puntuación de CVSS de 7.5, lo que la convierte en una falla de criticidad alta.

La función vulnerable de la paquetería Systeminformation es fsSize (), la cual es utilizada para recopilar información detallada de los sistemas de archivos, particiones en disco, espacio utilizado, espacio disponible etc. El problema en este caso se origina por validaciones insuficiente de seguridad y falta de sanitización de los comandos de entrada, esto podría permitir que autores de amenazas traten de explotar esta vulnerabilidad para inyectar y ejecutar código arbitrario, moverse lateralmente en los sistemas y redes comprometidas, acceso a información crítica, exfiltración de información o hasta el despliegue de malwares o ransomwares.

Para lograr explotar la vulnerabilidad con éxito los atacantes deben de enviar comandos de entrada especialmente diseñados con la utilización de la función fsSize () para provocar que el sistema no valide correctamente los datos y aun así ejecute la solicitud. Este CVE afecta y pone en riesgo principalmente a aplicaciones web, APIs, herramientas de monitoreo y herramientas CLI debido a que los usuarios pueden enviar comandos de entrada y así aprovecharse de la vulnerabilidad.

También es de suma importancia mencionar que esta falla en la paquetería systeminformation vuelve aún más vulnerable a las herramientas basadas en Windows por lo que es de suma importancia actualizar a las versiones parcheadas para mitigar los riesgos.

Versiones Afectadas

Producto Versión afectada Versión parcheada
Paquetería systeminformation de Node.js Todas las versiones menores a 5.27.13 5.27.14 o posteriores.

Recomendaciones

  • En caso de contar con alguna de las versiones afectadas por la vulnerabilidad siga las recomendaciones y actualice a la versión parcheada 5.27.14.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. Divya. (2025, Diciembre 18). Critical Node.js Library Flaw Lets Hackers Execute Remote Commands on Windows. GBHackers Security | #1 Globally Trusted Cyber Security News Platform. Recuperado el 18 de Diciembre de 2025, en: https://gbhackers.com/critical-node-js-library-flaw/
  2. Abinaya. (2025, Diciembre 18). Critical Vulnerability in Popular Node.js Library Exposes Windows Systems to RCE Attacks. Cyber Security News. Recuperado el 18 de Diciembre de 2025, en:  https://cybersecuritynews.com/node-js-library-exposes-windows/
  3. Ddos. (2025, Diciembre 18). Node.js Alert: systeminformation Flaw Risks Windows RCE for 16M+ Monthly Users. Daily CyberSecurity. Recuperado el 18 de Diciembre de 2025, en: https://securityonline.info/node-js-alert-systeminformation-flaw-risks-windows-rce-for-16m-monthly-users/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más