Ανακαλύφθηκε μια ευπάθεια διάβασης κρίσιμης διαδρομής στο AdonisJS που θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να γράφουν αυθαίρετα αρχεία σε συστήματα αρχείων διακομιστή, οδηγώντας ενδεχομένως σε πλήρη συμβιβασμό του συστήματος.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2026-21440, επηρεάζει τη μονάδα ανάλυσης σώματος του δημοφιλούς πλαισίου ιστού TypeScript-first και φέρει μια κρίσιμη βαθμολογία σοβαρότητας CVSS v4.
Το ελάττωμα ασφαλείας βρίσκεται στον πολυμερή μηχανισμό χειρισμού αρχείων του AdonisJS στο πακέτο @adonisjs/bodyparser.
Κατά την επεξεργασία μεταφορτώσεων δεδομένων πολλών μερών/φόρμας, η μέθοδος MultipartFile.move() του πλαισίου χρησιμοποιεί μη ασφαλείς προεπιλεγμένες επιλογές που αποτυγχάνουν να καθαρίσουν σωστά τα ονόματα αρχείων που παρέχονται από τον πελάτη.
| Ιδιότης | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2026-21440 |
| Αυστηρότητα | Κρίσιμο (CVSS v4: AV:N/AC:L/AT:P/PR:N/UI:N) |
| Εκδόσεις που επηρεάζονται | ≤ 10.1.1, ≤ 11.0.0-επόμενο.5 |
| Τύπος αδυναμίας | CWE-22 (Διάβαση μονοπατιού). |
Οι εισβολείς μπορούν να εκμεταλλευτούν αυτήν την αδυναμία υποβάλλοντας ειδικά κατασκευασμένα ονόματα αρχείων που περιέχουν ακολουθίες διέλευσης διαδρομής (όπως “../”) για να αποφύγουν τους προβλεπόμενους καταλόγους μεταφόρτωσης και να εγγράψουν αρχεία σε αυθαίρετες τοποθεσίες στο διακομιστή.
Η εκμετάλλευση απαιτεί ένα προσβάσιμο τελικό σημείο μεταφόρτωσης που μπορούν να χρησιμοποιήσουν οι προγραμματιστές με το MultipartFile.move() χωρίς την κατάλληλη εξυγίανση του ονόματος αρχείου. Η προεπιλεγμένη ρύθμιση παραμέτρων της ευπάθειας επιτρέπει την αντικατάσταση αρχείων, ενισχύοντας την απειλή.
Εάν οι εισβολείς μπορούν να αντικαταστήσουν τον κώδικα εφαρμογής, τα σενάρια εκκίνησης ή τα αρχεία διαμόρφωσης, η απομακρυσμένη εκτέλεση κώδικα καθίσταται δυνατή ανάλογα με τα δικαιώματα του συστήματος αρχείων και τη διαμόρφωση παραμέτρων ανάπτυξης.
Ο ερευνητής ασφαλείας Wodzen ανακάλυψε και αναφέρθηκε αυτό το θέμα ευπάθειας στο GitHub, το οποίο επηρεάζει τις εκδόσεις @adonisjs/bodyparser έως την 10.1.1 και τις εκδόσεις προέκδοσης 11.0.0-next.5 και παλαιότερες.
Το AdonisJS κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας για τις εκδόσεις 6 και 7. Οι προγραμματιστές θα πρέπει να κάνουν αμέσως αναβάθμιση σε @adonisjs/bodyparser έκδοση 10.1.2 ή 11.0.0-next.6.
Οι οργανισμοί που χρησιμοποιούν εκδόσεις που επηρεάζονται θα πρέπει να ελέγχουν τα τελικά σημεία μεταφόρτωσης και να εφαρμόζουν ρητή εξυγίανση ονομάτων αρχείου ως πρόσθετο επίπεδο ασφαλείας.
