Krytyczna podatność typu Path Traversal w AdonisJS | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

mężczyzna patrzący na monitor komputera

Krytyczna podatność typu Path Traversal w AdonisJS

CSIRT CeZ ostrzega: krytyczna podatność typu Path Traversal w AdonisJS, która umożliwia zdalny zapis dowolnych plików na serwerze. 

Charakterystyka podatności

  • Oznaczenie: CVE-2026-21440 
  • Score CVSS 4.0: 9,2 (Critical)

Jak działa podatność?

W AdonisJS — frameworku webowym opartym na TypeScript — wykryto krytyczną podatność typu Path Traversal związaną z obsługą plików wieloczęściowych (multipart).

Luka pozwala zdalnemu atakującemu:

  • zapisać dowolny plik w dowolnej lokalizacji w systemie plików,
  • ominąć kontrolę ścieżek i zabezpieczenia aplikacji,
  • potencjalnie nadpisać pliki aplikacji lub systemowe, co może prowadzić do dalszej eskalacji ataku lub przejęcia środowiska.
  • Skutki obejmują poważne naruszenie:
  • poufności danych,
  • integralności systemu,
  • dostępności aplikacji (np. przez nadpisanie kluczowych plików).

Podatne systemy

Podatność występuje w wersjach:

  • do 10.1.1 włącznie,
  • 10.0.0-next.5 włącznie.

Działania zapobiegawcze

Zalecamy natychmiastową aktualizację AdonisJS do jednej z wersji:

  • v10.1.2 lub nowszej, albo
  • 11.0.0-next.6 (lub nowszej stabilnej wersji).

Dlaczego to ważne

Brak konieczności autoryzacji, niska złożoność ataku oraz możliwość zapisu arbitralnych plików w systemie sprawiają, że jest to jedna z najpoważniejszych podatności wpływających na bezpieczeństwo aplikacji wykorzystujących AdonisJS.

Źródło

NVD