Plateforme
nodejs
Composant
fuxa-server
Corrigé dans
1.2.12
1.2.11
Une vulnérabilité de type Path Traversal a été découverte dans fuxa-server, permettant à un attaquant authentifié disposant de privilèges administratifs de contourner les protections de navigation de répertoire. L'exploitation réussie peut permettre à un attaquant d'écrire des fichiers arbitraires sur le système de fichiers du serveur, y compris des répertoires sensibles comme runtime/scripts, ce qui peut conduire à une exécution de code à distance (RCE). Cette vulnérabilité affecte les versions antérieures à 1.2.11 et constitue un contournement de patch des versions précédentes.
Cette vulnérabilité représente un risque significatif car elle permet à un attaquant d'obtenir un contrôle potentiellement complet sur le serveur fuxa-server. En exploitant cette faille, un attaquant authentifié peut écrire des fichiers malveillants dans des répertoires critiques, tels que le répertoire runtime/scripts. Si le serveur recharge ces scripts, l'attaquant peut exécuter du code arbitraire avec les privilèges du processus du serveur. Le potentiel d'exécution de code à distance (RCE) signifie que l'attaquant pourrait compromettre l'ensemble du système, voler des données sensibles, ou utiliser le serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. Cette vulnérabilité est particulièrement préoccupante car elle contourne les mécanismes de protection existants, rendant les versions antérieures plus vulnérables.
La vulnérabilité CVE-2026-25951 a été publiée le 10 février 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification administrative et de la complexité potentielle de la création d'une charge utile RCE. Aucun PoC public n'est actuellement disponible, mais la nature de la vulnérabilité (Path Traversal) suggère qu'un tel PoC pourrait être développé rapidement.
Organizations relying on fuxa-server for critical services are at risk, particularly those with administrative interfaces exposed to the internet. Environments with legacy configurations or shared hosting setups where user privileges are not strictly controlled are especially vulnerable. Any deployment using older, unpatched versions of fuxa-server is potentially exposed.
• nodejs / server:
journalctl -u fuxa-server -f | grep -i "path traversal"• nodejs / server:
ps aux | grep fuxa-server | grep -i "....//"• generic web: Use curl to test for path traversal:
curl 'http://your-fuxa-server/path/....//sensitive_file.txt' • generic web: Grep access logs for requests containing suspicious path traversal sequences (e.g., '....//').
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 10%)
CISA SSVC
La mitigation immédiate consiste à mettre à jour fuxa-server vers la version 1.2.11 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au serveur et de surveiller les tentatives de navigation de répertoire suspectes. En attendant la mise à jour, il est possible de configurer un proxy inverse ou un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de navigation de répertoire malveillantes (par exemple, ....//). Surveillez également les journaux du serveur pour détecter des tentatives d'écriture de fichiers dans des répertoires non autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du serveur et assurez-vous que les scripts critiques ne sont pas compromis.
Actualice FUXA a la versión 1.2.11 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la ejecución remota de código. La actualización evitará que atacantes con privilegios administrativos exploten esta vulnerabilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25951 is a Path Traversal vulnerability in fuxa-server allowing authenticated admins to bypass directory protections and potentially achieve Remote Code Execution.
You are affected if you are running a version of fuxa-server prior to 1.2.11 and have authenticated administrators with access to the server.
Upgrade fuxa-server to version 1.2.11 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting admin access and input validation.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Refer to the fuxa-server project's official website or security advisory page for the latest information and updates regarding CVE-2026-25951.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.