Plataforma
nodejs
Componente
fuxa-server
Corregido en
1.2.12
1.2.11
Se ha descubierto una vulnerabilidad de Path Traversal en fuxa-server que permite a atacantes autenticados con privilegios administrativos evadir las protecciones de recorrido de directorios. La explotación exitosa permite la escritura de archivos arbitrarios en el sistema de archivos del servidor, incluyendo directorios sensibles como runtime/scripts, lo que puede resultar en Ejecución Remota de Código (RCE). La vulnerabilidad afecta a versiones anteriores a 1.2.11 y representa una vulnerabilidad nueva, un bypass de parche en la sanitización de la última versión.
Esta vulnerabilidad de Path Traversal es particularmente grave debido a su potencial para la Ejecución Remota de Código. Un atacante puede aprovecharla para escribir archivos maliciosos en ubicaciones críticas del sistema de archivos de fuxa-server, como el directorio runtime/scripts. Si el servidor recarga estos scripts modificados, el atacante puede ejecutar código arbitrario en el servidor con los privilegios del proceso fuxa-server. Esto podría permitir el control total del servidor, el robo de datos confidenciales o la instalación de malware. La capacidad de escribir en directorios sensibles, como runtime/scripts, amplía significativamente el alcance del impacto, permitiendo una escalada de privilegios y un control más profundo sobre el sistema.
La vulnerabilidad CVE-2026-25951 fue publicada el 2026-02-10. No se ha añadido a KEV al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (Path Traversal con potencial RCE) la convierte en un objetivo atractivo para los atacantes. La falta de un parche anterior y la posibilidad de bypass de la sanitización hacen que esta vulnerabilidad sea de alta prioridad para su mitigación.
Organizations relying on fuxa-server for critical services are at risk, particularly those with administrative interfaces exposed to the internet. Environments with legacy configurations or shared hosting setups where user privileges are not strictly controlled are especially vulnerable. Any deployment using older, unpatched versions of fuxa-server is potentially exposed.
• nodejs / server:
journalctl -u fuxa-server -f | grep -i "path traversal"• nodejs / server:
ps aux | grep fuxa-server | grep -i "....//"• generic web: Use curl to test for path traversal:
curl 'http://your-fuxa-server/path/....//sensitive_file.txt' • generic web: Grep access logs for requests containing suspicious path traversal sequences (e.g., '....//').
disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
La mitigación principal para CVE-2026-25951 es actualizar a la versión 1.2.11 de fuxa-server, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen restringir el acceso al servidor, implementar un firewall de aplicaciones web (WAF) con reglas para bloquear intentos de recorrido de directorios y revisar cuidadosamente los permisos de los archivos y directorios. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos, como intentos de acceder a directorios no autorizados o la creación de archivos inesperados. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los intentos de recorrido de directorios son bloqueados.
Actualice FUXA a la versión 1.2.11 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. La actualización evitará que atacantes con privilegios administrativos exploten esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25951 is a Path Traversal vulnerability in fuxa-server allowing authenticated admins to bypass directory protections and potentially achieve Remote Code Execution.
You are affected if you are running a version of fuxa-server prior to 1.2.11 and have authenticated administrators with access to the server.
Upgrade fuxa-server to version 1.2.11 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting admin access and input validation.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Refer to the fuxa-server project's official website or security advisory page for the latest information and updates regarding CVE-2026-25951.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.