Plataforma
nodejs
Componente
basic-ftp
Corregido en
5.2.1
5.2.0
La biblioteca basic-ftp presenta una vulnerabilidad de Path Traversal en el método downloadToDir(). Esta falla permite a un servidor FTP malicioso, mediante el envío de directorios con nombres de archivo que contienen secuencias de Path Traversal (../), escribir archivos fuera del directorio de descarga previsto. La vulnerabilidad afecta a versiones anteriores a 5.2.0 y requiere una actualización inmediata para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para escribir archivos arbitrarios en el sistema de archivos del servidor donde se ejecuta basic-ftp. Esto podría incluir la sobrescritura de archivos de configuración críticos, la inserción de código malicioso o incluso la ejecución remota de código, dependiendo de los permisos del usuario bajo el cual se ejecuta la aplicación. El impacto potencial es significativo, pudiendo comprometer la integridad y confidencialidad de los datos almacenados en el servidor. La manipulación de rutas permite eludir las protecciones de directorio, abriendo la puerta a una amplia gama de ataques.
La vulnerabilidad se encuentra en la biblioteca basic-ftp utilizada en aplicaciones Node.js. No se ha reportado su inclusión en el KEV (Know Exploited Vulnerabilities) de CISA al momento de la publicación. No se han identificado públicamente campañas de explotación activas, pero la disponibilidad de la información sobre la vulnerabilidad aumenta el riesgo de su explotación futura. La fecha de publicación es 2026-02-25.
Applications and services built on Node.js that utilize the basic-ftp library to download files from external FTP servers are at risk. This includes automated file transfer systems, backup solutions, and any application that relies on basic-ftp for FTP functionality. Specifically, systems that handle user-provided FTP server addresses or filenames are particularly vulnerable.
• nodejs / server:
npm list basic-ftp• nodejs / server:
npm audit basic-ftp• nodejs / server:
Inspect application code for instances where basic-ftp is used to download files from external FTP servers, paying close attention to how filenames are handled and validated.
disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar la biblioteca basic-ftp a la versión 5.2.0 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar validaciones de ruta adicionales en el código de la aplicación para asegurar que los nombres de archivo recibidos del servidor FTP no contengan secuencias de Path Traversal. Se puede considerar el uso de una WAF (Web Application Firewall) para filtrar solicitudes FTP maliciosas. Además, revise y refuerce los permisos del usuario bajo el cual se ejecuta la aplicación para limitar el daño potencial en caso de una explotación exitosa. Después de la actualización, confirme que la descarga de archivos desde un servidor FTP que contenga nombres de archivo con secuencias ../ no permite la escritura fuera del directorio esperado.
Actualice la biblioteca basic-ftp a la versión 5.2.0 o superior. Esto corrige la vulnerabilidad de path traversal en el método downloadToDir(). La actualización se puede realizar utilizando el gestor de paquetes npm.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27699 is a critical path traversal vulnerability in the basic-ftp Node.js library, allowing attackers to write files outside the intended download directory.
You are affected if you are using basic-ftp versions prior to 5.2.0 and downloading files from untrusted FTP servers.
Upgrade to basic-ftp version 5.2.0 or later. As a temporary workaround, sanitize filenames received from the FTP server.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation.
Refer to the basic-ftp project's repository and release notes for the official advisory and details on the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.