Se recomienda a los usuarios del paquete npm ‘@adonisjs/bodyparser’ que actualicen a la última versión luego de la revelación de una vulnerabilidad de seguridad crítica que, si se explota con éxito, podría permitir que un atacante remoto escriba archivos arbitrarios en el servidor.
Esta falla se rastrea como CVE-2026-21440 (puntaje CVSS: 9.2) y se describe como un problema de recorrido de ruta que afecta el mecanismo de manejo de archivos multiparte de AdonisJS. ‘@adonisjs/bodyparser’ es un paquete npm asociado con AdonisJS, un marco Node.js para desarrollar aplicaciones web y servidores API utilizando TypeScript. Esta biblioteca se utiliza para procesar cuerpos de solicitud HTTP de AdonisJS.
«Si un desarrollador usa MultipartFile.move() sin especificar el segundo argumento opcional o limpiar explícitamente el nombre del archivo, un atacante podría proporcionar un valor de nombre de archivo diseñado que contenga una secuencia transversal y escribir en una ruta de destino fuera del directorio de carga previsto», dijeron los administradores del proyecto en un aviso publicado la semana pasada. «Esto podría provocar que se escriban archivos arbitrarios en el servidor».
Sin embargo, un exploit exitoso depende de un punto final de carga accesible. El meollo del problema radica en una función llamada «MultipartFile.move(ubicación, opciones)» que le permite mover un archivo a una ubicación específica. El parámetro «opciones» tiene dos valores: un nombre de archivo y un indicador de anulación que indica «verdadero» o «falso».
Este problema ocurre cuando el parámetro de nombre no se pasa como entrada, lo que hace que la aplicación use un nombre de archivo de cliente no desinfectado de forma predeterminada, lo que abre la puerta al recorrido de ruta. Esto permite a un atacante elegir cualquier destino y sobrescribir archivos confidenciales si el indicador de sobrescritura está configurado en «verdadero».
«La RCE (ejecución remota de código) es posible si un atacante puede sobrescribir el código de la aplicación, los scripts de inicio y los archivos de configuración que luego se ejecutan/cargan», dijo AdonisJS. «RCE no está garantizado y depende de los permisos del sistema de archivos, el diseño de implementación y el comportamiento de la aplicación/tiempo de ejecución».
Este problema, descubierto y reportado por Hunter Wodzenski (@wodzen), afecta a las siguientes versiones:
<= 10.1.1 (fijado en 10.1.2) <= 11.0.0-next.5 (fijado en 11.0.0-next.6)
Defectos en la biblioteca jsPDF npm
Este desarrollo coincide con la divulgación de otra vulnerabilidad de recorrido de ruta en un paquete npm llamado jsPDF (CVE-2025-68428, puntuación CVSS: 9,2). Esta vulnerabilidad podría aprovecharse para atravesar rutas no desinfectadas y obtener el contenido de archivos arbitrarios en el sistema de archivos local de un proceso de Nodo en ejecución.
Esta vulnerabilidad se solucionó en la versión 4.0.0 de jsPDF lanzada el 3 de enero de 2026. Como solución alternativa, recomendamos utilizar el indicador –permission para restringir el acceso al sistema de archivos. A un investigador llamado Kwangwoon Kim se le atribuye haber informado de este error.
Parallax, desarrollador de la biblioteca de generación de PDF de JavaScript, dice: «El contenido del archivo se incluye intacto en el PDF generado». «Solo se ve afectada la compilación node.js de la biblioteca, es decir, los archivos dist/jspdf.node.js y dist/jspdf.node.min.js».
Source link
