支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2026-21440 基础信息
漏洞信息
                                        # AdonisJS 多部分文件路径遍历漏洞

## 概述
AdonisJS 的 multipart 文件处理中存在路径遍历漏洞,可能导致远程攻击者在服务器文件系统上的任意位置写入任意文件。

## 影响版本
- `@adonisjs/bodyparser` ≤ 10.1.1  
- `@adonisjs/bodyparser` 11.x 预发布版本 < 11.0.0-next.6

## 细节
该漏洞存在于 AdonisJS 对 multipart 文件上传的处理过程中,攻击者可通过构造恶意路径实现路径遍历,从而将上传的文件保存到非预期的服务器目录。

## 影响
未经身份验证的远程攻击者可利用此漏洞在服务器上任意路径写入文件,可能导致远程代码执行或服务器被完全控制。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
AdonisJS Path Traversal in Multipart File Handling
来源:美国国家漏洞数据库 NVD
漏洞描述信息
AdonisJS is a TypeScript-first web framework. A Path Traversal vulnerability in AdonisJS multipart file handling may allow a remote attacker to write arbitrary files to arbitrary locations on the server filesystem. This impacts @adonisjs/bodyparser through version 10.1.1 and 11.x prerelease versions prior to 11.0.0-next.6. This issue has been patched in @adonisjs/bodyparser versions 10.1.2 and 11.0.0-next.6.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
bodyparser 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
bodyparser是AdonisJS Framework开源的一个AdonisJS上的BodyParser中间件。 bodyparser 10.1.1及之前版本和11.0.0-next.6之前版本存在路径遍历漏洞,该漏洞源于多部分文件处理存在路径遍历,可能导致向服务器文件系统任意位置写入任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-21440 的公开POC
#POC 描述源链接神龙链接
1CVE-2026-21440https://github.com/Ashwesker/Ashwesker-CVE-2026-21440POC详情
2Advanced detection-only PoC for CVE-2026-21440 affecting AdonisJS BodyParser. No exploitation included.https://github.com/you-ssef9/CVE-2026-21440POC详情
3poc and writeup for cve-2026-21440: a critical path traversal vulnerability in @adonisjs/bodyparser allowing arbitrary file writinghttps://github.com/k0nnect/cve-2026-21440-writeup-pocPOC详情
三、漏洞 CVE-2026-21440 的情报信息
四、漏洞 CVE-2026-21440 的评论

暂无评论

发表评论