Plateforme
nodejs
Composant
basic-ftp
Corrigé dans
5.2.1
5.2.0
Une vulnérabilité de traversal de chemin a été découverte dans la bibliothèque basic-ftp affectant les versions inférieures ou égales à 5.1.9. Cette faille permet à un serveur FTP malveillant d'exploiter le parseur de liste de fichiers pour écrire des fichiers en dehors du répertoire de téléchargement prévu, compromettant potentiellement l'intégrité du système. La vulnérabilité a été publiée le 25 février 2026 et une version corrigée (5.2.0) est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles de sécurité et d'écrire des fichiers arbitraires sur le système cible. Cela peut conduire à la compromission du système, à la perte de données, ou à l'exécution de code malveillant. Le flux source-vers-destination exploite la manière dont basic-ftp analyse les réponses LIST du serveur FTP. Un nom de fichier malveillant contenant des séquences de traversal de chemin (comme ../) peut être injecté dans la réponse LIST, ce qui permet à l'attaquant de spécifier un emplacement de destination arbitraire pour le fichier téléchargé. Cette vulnérabilité présente un risque élevé car elle peut être exploitée à distance sans authentification.
La vulnérabilité est présente dans la bibliothèque basic-ftp pour Node.js. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la vulnérabilité est critique et facilement exploitable. La publication de la vulnérabilité a eu lieu le 25 février 2026. Il est possible que cette vulnérabilité soit ajoutée au catalogue KEV de CISA à l'avenir.
Applications and services built on Node.js that utilize the basic-ftp library to download files from external FTP servers are at risk. This includes automated file transfer systems, backup solutions, and any application that relies on basic-ftp for FTP functionality. Specifically, systems that handle user-provided FTP server addresses or filenames are particularly vulnerable.
• nodejs / server:
npm list basic-ftp• nodejs / server:
npm audit basic-ftp• nodejs / server:
Inspect application code for instances where basic-ftp is used to download files from external FTP servers, paying close attention to how filenames are handled and validated.
disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
La mesure d'atténuation principale est de mettre à jour la bibliothèque basic-ftp vers la version 5.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement les téléchargements depuis des sources FTP non fiables. En outre, la validation stricte des noms de fichiers côté serveur avant de les utiliser dans les opérations de téléchargement peut aider à atténuer le risque. L'utilisation d'un pare-feu d'application web (WAF) configuré pour bloquer les requêtes contenant des séquences de traversal de chemin peut également fournir une protection supplémentaire. Après la mise à jour, vérifiez que les téléchargements fonctionnent comme prévu et que les contrôles de sécurité sont toujours en place.
Mettez à jour la bibliothèque basic-ftp à la version 5.2.0 ou supérieure. Cela corrige la vulnérabilité de traversal de chemin dans la méthode downloadToDir(). La mise à jour peut être effectuée à l'aide du gestionnaire de paquets npm.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27699 is a critical path traversal vulnerability in the basic-ftp Node.js library, allowing attackers to write files outside the intended download directory.
You are affected if you are using basic-ftp versions prior to 5.2.0 and downloading files from untrusted FTP servers.
Upgrade to basic-ftp version 5.2.0 or later. As a temporary workaround, sanitize filenames received from the FTP server.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation.
Refer to the basic-ftp project's repository and release notes for the official advisory and details on the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.