Plataforma
nodejs
Componente
@adonisjs/bodyparser
Corregido en
10.1.3
11.0.1
10.1.2
Se ha descubierto una vulnerabilidad de Path Traversal (CWE-22) en el manejo de archivos multipart en AdonisJS, específicamente en el paquete @adonisjs/bodyparser. Esta falla permite a un atacante remoto escribir archivos arbitrarios en ubicaciones del sistema de archivos del servidor. La vulnerabilidad afecta a versiones de @adonisjs/bodyparser hasta la 10.1.1 y a las versiones prerelease de la 11.x, siendo corregida en las versiones 10.1.2 y 11.0.0-next.6.
La vulnerabilidad de Path Traversal en @adonisjs/bodyparser permite a un atacante subir archivos maliciosos a ubicaciones críticas del sistema de archivos. Esto podría resultar en la ejecución remota de código, la modificación de archivos de configuración sensibles, o la denegación de servicio. Un atacante podría, por ejemplo, sobrescribir archivos de configuración de la base de datos con credenciales falsas, comprometiendo así la integridad de los datos. La severidad CRÍTICA (CVSS 9.5) indica un alto riesgo de explotación y un impacto significativo en la confidencialidad, integridad y disponibilidad del sistema.
La vulnerabilidad fue publicada el 2 de enero de 2026. No se ha reportado explotación activa a la fecha. No se encuentra listada en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Applications built with the AdonisJS framework that utilize @adonisjs/bodyparser for file uploads are at risk. This includes web applications, APIs, and any other services that process multipart/form-data requests. Specifically, applications using older versions of AdonisJS or those with custom file upload handling logic that doesn't adequately validate the upload location are particularly vulnerable.
• nodejs / server:
npm list @adonisjs/bodyparser• nodejs / server:
npm audit @adonisjs/bodyparser• nodejs / server:
grep -r 'MultipartFile.move' /path/to/your/app/http/controllers• generic web: Inspect application logs for unusual file creation events or errors related to file uploads, particularly those involving path traversal attempts.
disclosure
patch
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
La mitigación principal es actualizar el paquete @adonisjs/bodyparser a la versión 10.1.2 o 11.0.0-next.6. Si la actualización causa problemas de compatibilidad, se recomienda realizar una copia de seguridad completa del sistema antes de proceder. Como medida temporal, se pueden implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes que contengan secuencias de caracteres sospechosas en la ruta del archivo. También es recomendable revisar y endurecer las configuraciones de permisos del sistema de archivos para limitar el acceso de escritura a ubicaciones sensibles.
Actualice el paquete @adonisjs/bodyparser a la versión 10.1.2 o superior, o a la versión 11.0.0-next.6 o superior. Esto corregirá la vulnerabilidad de Path Traversal. Ejecute `npm update @adonisjs/bodyparser` o `yarn upgrade @adonisjs/bodyparser` para actualizar el paquete.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-21440 is a CRITICAL Path Traversal vulnerability in @adonisjs/bodyparser, allowing attackers to write arbitrary files to the server. It affects versions up to 10.1.1 and prereleases before 11.0.0-next.6.
You are affected if your application uses @adonisjs/bodyparser versions up to 10.1.1 or prerelease versions of 11.x before 11.0.0-next.6.
Upgrade to @adonisjs/bodyparser version 10.1.2 or 11.0.0-next.6 or later. Consider WAF rules and input validation as temporary mitigations.
While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity suggests a high likelihood of future attacks.
Refer to the official AdonisJS security advisories and release notes for details: [https://github.com/adonisjs/body-parser/releases](https://github.com/adonisjs/body-parser/releases)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.