【漏洞通告】AdonisJS Multipart 文件处理路径遍历漏洞(CVE-2026-21440)
发布时间 2026-01-05一、漏洞概述
漏洞名称 | AdonisJS Multipart 文件处理路径遍历漏洞 | ||
CVE ID | CVE-2026-21440 | ||
漏洞类型 | 路径遍历 | 发现时间 | 2026-1-5 |
漏洞评分 | 9.2 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
AdonisJS是一个基于Node.js的全栈Web应用框架,采用MVC架构,旨在提供一种高效、简洁且具有良好开发体验的开发方式。它内置了多种常用功能,如认证、数据库迁移、验证、邮件处理、文件上传等,帮助开发者专注于业务逻辑而无需过多关注底层实现。AdonisJS提供了完善的CLI工具和强大的路由系统,适用于构建从小型应用到大型企业级应用的项目。
2026年1月5日,启明星辰集团VSRC监测到AdonisJS的@adonisjs/bodyparser包存在路径遍历漏洞。攻击者可通过构造恶意文件名,利用MultipartFile.move(location,options)的默认选项,将文件写入服务器任意位置,绕过预期的上传目录。若未显式设置options.name或options.overwrite,攻击者可通过路径遍历写入敏感文件,可能导致远程代码执行(RCE)。漏洞评分9.2,漏洞级别严重。
二、影响范围
三、安全措施
3.1 升级版本
下载链接:https://github.com/adonisjs/bodyparser/releases/
3.2 临时措施
暂无。
京公网安备11010802024551号