Plateforme
nodejs
Composant
files-bucket-server
Corrigé dans
1.2.7
Une vulnérabilité de type Directory Traversal a été découverte dans files-bucket-server, affectant les versions inférieures ou égales à 1.2.6. Cette faille permet à un attaquant de naviguer dans le système de fichiers et d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité et l'intégrité des données. La mise à jour vers la dernière version est recommandée pour corriger ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles stockés sur le serveur, tels que des informations de configuration, des clés API ou des données utilisateur. L'attaquant peut également modifier ou supprimer ces fichiers, entraînant une perte de données ou une perturbation du service. En fonction de la configuration du serveur et des permissions accordées, l'attaquant pourrait potentiellement accéder à d'autres systèmes sur le réseau, élargissant ainsi le champ d'impact de l'attaque. Cette vulnérabilité présente un risque élevé, car elle ne nécessite pas d'authentification et peut être exploitée à distance.
Cette vulnérabilité est publique depuis le 23 juillet 2025. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la disponibilité potentielle de preuves de concept publiques. Surveillez les forums de sécurité et les dépôts de code pour détecter l'émergence de preuves de concept.
Applications and services relying on files-bucket-server for file storage or retrieval are at risk. This includes systems with older, unpatched installations of files-bucket-server, particularly those deployed in environments with permissive file system permissions or shared hosting configurations.
• nodejs / server:
find /path/to/files-bucket-server -type f -name "*..*"• generic web:
curl -I 'http://your-server/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Statut de l'Exploit
EPSS
0.37% (percentile 58%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour files-bucket-server vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est fortement recommandé de restreindre l'accès au serveur files-bucket-server en utilisant un pare-feu ou une liste de contrôle d'accès (ACL). De plus, assurez-vous que les permissions sur les fichiers et répertoires sont configurées de manière à limiter l'accès aux seuls utilisateurs autorisés. Après la mise à jour, vérifiez l'intégrité du système de fichiers pour détecter toute modification non autorisée.
Actualice el paquete files-bucket-server a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Ejecute `npm update files-bucket-server` o `yarn upgrade files-bucket-server` para actualizar el paquete.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-8021 is a vulnerability allowing attackers to access files outside the intended directory in files-bucket-server versions up to 1.2.6.
You are affected if you are using files-bucket-server versions 1.2.6 or earlier. Upgrade to the latest version to mitigate the risk.
Upgrade to a version of files-bucket-server newer than 1.2.6. Consult the project's release notes for the latest stable build. Implement file access restrictions as a temporary workaround.
No active exploitation campaigns have been reported at this time, but the vulnerability's nature suggests a potential for future attacks.
Refer to the project's official website or repository for the latest security advisories and release notes related to CVE-2025-8021.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.