Plateforme
nodejs
Composant
node.js
Corrigé dans
3.5.4
3.5.4
La vulnérabilité CVE-2026-32731 est une faille de type Zip Slip présente dans ApostropheCMS, un framework de gestion de contenu open-source. Cette vulnérabilité permet à un attaquant d'écrire des fichiers arbitraires en dehors du répertoire d'extraction prévu, conduisant potentiellement à l'exécution de code malveillant. Elle affecte les versions d'ApostropheCMS inférieures ou égales à 3.5.3 et a été publiée le 18 mars 2026. La correction est disponible dans la version 3.5.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'écrire des fichiers dans des emplacements inattendus sur le système de fichiers. Un attaquant pourrait, par exemple, écrire un fichier PHP malveillant dans le répertoire racine du site web, ce qui lui permettrait d'exécuter du code arbitraire sur le serveur. Cela pourrait conduire à la compromission complète du système, à la perte de données sensibles, ou à l'utilisation du serveur pour lancer d'autres attaques. Cette vulnérabilité présente des similitudes avec les attaques de type Zip Slip observées dans d'autres applications, où la manipulation des chemins d'extraction permet de contourner les restrictions d'accès.
Cette vulnérabilité a été publiée le 18 mars 2026. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la gravité critique de la vulnérabilité et la disponibilité d'une correction suggèrent qu'elle pourrait être ciblée par des attaquants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information. La vulnérabilité est actuellement répertoriée dans le NVD (National Vulnerability Database).
ApostropheCMS installations using @apostrophecms/import-export versions prior to 3.5.3 are at risk. This includes developers and system administrators who manage ApostropheCMS deployments, particularly those who allow users to upload files via the import-export functionality. Shared hosting environments running ApostropheCMS are also at increased risk, as a compromised user account could potentially exploit this vulnerability to gain access to the entire server.
• nodejs / server:
find /path/to/node_modules/@apostrophecms/import-export/gzip.js -exec grep -i 'path.join(exportPath, header.name)' {}• linux / server:
journalctl -f -u node | grep -i "extract()"• generic web:
curl -I http://your-apostrophe-site.com/import-export/upload.php?file=../../evil.txtdisclosure
patch
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ApostropheCMS vers la version 3.5.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure temporaire consiste à restreindre les autorisations d'écriture sur le répertoire d'extraction. Il est également recommandé de mettre en place une validation stricte des noms de fichiers lors de l'importation, afin de bloquer les tentatives d'injection de chemins malveillants. L'utilisation d'un Web Application Firewall (WAF) peut également aider à détecter et à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez l'intégrité des fichiers et examinez les journaux d'accès pour détecter toute activité suspecte.
Mettez à jour le module `@apostrophecms/import-export` à la version 3.5.3 ou supérieure. Cela corrige la vulnérabilité d'écriture arbitraire de fichiers (Zip Slip / Path Traversal) lors de l'extraction de fichiers Gzip dans le processus d'importation-exportation. La mise à jour empêche les utilisateurs malveillants d'écrire des fichiers en dehors du répertoire de destination prévu.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32731 is a critical Zip Slip vulnerability in the @apostrophecms/import-export module, allowing attackers to write files outside the intended export directory, potentially leading to code execution.
You are affected if you are using @apostrophecms/import-export versions prior to 3.5.3. Immediately assess your deployments.
Upgrade to @apostrophecms/import-export version 3.5.3 or later. If immediate upgrade is not possible, implement temporary path validation workarounds.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest active exploitation is possible.
Refer to the official ApostropheCMS security advisory for detailed information and updates: [https://apostrophecms.com/security/advisories](https://apostrophecms.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.