Plataforma
nodejs
Componente
node.js
Corregido en
3.5.4
3.5.4
La vulnerabilidad CVE-2026-32731 es una falla de tipo Zip Slip detectada en la librería @apostrophecms/import-export de ApostropheCMS, un framework de gestión de contenidos de código abierto. Esta vulnerabilidad permite a un atacante escribir archivos arbitrarios fuera del directorio de exportación previsto, comprometiendo la integridad del sistema. Afecta a versiones de ApostropheCMS anteriores a 3.5.3 y se recomienda actualizar a la versión corregida para eliminar el riesgo.
La falla Zip Slip en ApostropheCMS permite a un atacante, a través de la manipulación de archivos comprimidos (tar), sobrescribir archivos críticos del sistema. Un atacante podría subir un archivo malicioso con una ruta como ../../evil.js que, debido a la falta de validación de rutas, sería escrito en un directorio inesperado, como la raíz del sistema de archivos. Esto podría resultar en la ejecución remota de código, la pérdida de datos, o la toma de control completa del servidor. La falta de una verificación de ruta canónica antes de la escritura del stream agrava el problema, facilitando la explotación. Este tipo de vulnerabilidad es similar a otras fallas Zip Slip que han afectado a diversas aplicaciones de manejo de archivos.
CVE-2026-32731 fue publicado el 2026-03-18. No se ha añadido a la lista KEV de CISA al momento de la redacción. La probabilidad de explotación se considera media, dado que la vulnerabilidad es de alta severidad y no requiere autenticación. Se desconoce si existen pruebas de concepto (PoC) públicas disponibles, pero la naturaleza de la vulnerabilidad Zip Slip la hace relativamente fácil de explotar una vez que se comprende el mecanismo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
ApostropheCMS installations using @apostrophecms/import-export versions prior to 3.5.3 are at risk. This includes developers and system administrators who manage ApostropheCMS deployments, particularly those who allow users to upload files via the import-export functionality. Shared hosting environments running ApostropheCMS are also at increased risk, as a compromised user account could potentially exploit this vulnerability to gain access to the entire server.
• nodejs / server:
find /path/to/node_modules/@apostrophecms/import-export/gzip.js -exec grep -i 'path.join(exportPath, header.name)' {}• linux / server:
journalctl -f -u node | grep -i "extract()"• generic web:
curl -I http://your-apostrophe-site.com/import-export/upload.php?file=../../evil.txtdisclosure
patch
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-32731 es actualizar ApostropheCMS a la versión 3.5.3 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las rutas de los archivos antes de la escritura. Esto puede lograrse mediante el uso de la función path.resolve() para normalizar las rutas y asegurar que se encuentren dentro del directorio de exportación previsto. Además, se puede implementar una capa de seguridad como un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten manipular las rutas de los archivos. La monitorización de los logs del sistema en busca de intentos de escritura de archivos fuera del directorio esperado también puede ayudar a detectar y responder a posibles ataques.
Actualice el módulo `@apostrophecms/import-export` a la versión 3.5.3 o superior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos (Zip Slip / Path Traversal) durante la extracción de archivos Gzip en el proceso de importación-exportación. La actualización previene que usuarios maliciosos escriban archivos fuera del directorio de destino previsto.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32731 is a critical Zip Slip vulnerability in the @apostrophecms/import-export module, allowing attackers to write files outside the intended export directory, potentially leading to code execution.
You are affected if you are using @apostrophecms/import-export versions prior to 3.5.3. Immediately assess your deployments.
Upgrade to @apostrophecms/import-export version 3.5.3 or later. If immediate upgrade is not possible, implement temporary path validation workarounds.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest active exploitation is possible.
Refer to the official ApostropheCMS security advisory for detailed information and updates: [https://apostrophecms.com/security/advisories](https://apostrophecms.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.