प्लेटफ़ॉर्म
nodejs
घटक
basic-ftp
में ठीक किया गया
5.2.1
5.2.0
CVE-2026-27699 एक पथ पारगमन भेद्यता है जो Node.js के लिए basic-ftp लाइब्रेरी में पाई गई है। यह भेद्यता हमलावरों को डाउनलोड प्रक्रिया के दौरान अनधिकृत फ़ाइलों को लिखने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा का समझौता हो सकता है। यह भेद्यता basic-ftp के संस्करण 5.2.0 से पहले के संस्करणों को प्रभावित करती है। लाइब्रेरी को 5.2.0 या बाद के संस्करण में अपग्रेड करके इस भेद्यता को ठीक किया जा सकता है।
यह भेद्यता हमलावरों के लिए गंभीर जोखिम पैदा करती है। एक हमलावर FTP सर्वर से दुर्भावनापूर्ण निर्देशिका लिस्टिंग भेज सकता है जिसमें पथ पारगमन अनुक्रम (जैसे '../') शामिल हैं। basic-ftp लाइब्रेरी इन अनुक्रमों को ठीक से मान्य करने में विफल रहती है, जिससे हमलावर डाउनलोड निर्देशिका के बाहर फ़ाइलों को लिखने में सक्षम हो जाते हैं। इसका मतलब है कि हमलावर सिस्टम पर संवेदनशील फ़ाइलों को ओवरराइट कर सकते हैं, जैसे कि कॉन्फ़िगरेशन फ़ाइलें या महत्वपूर्ण डेटाबेस फ़ाइलें। इस भेद्यता का उपयोग सिस्टम पर नियंत्रण हासिल करने या डेटा चोरी करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए चिंताजनक है जो FTP सर्वर से फ़ाइलों को डाउनलोड करने के लिए basic-ftp लाइब्रेरी का उपयोग करते हैं।
CVE-2026-27699 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और सार्वजनिक रूप से उपलब्ध विवरण के कारण, इसका शोषण होने की संभावना है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को और बढ़ा देते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Applications and services built on Node.js that utilize the basic-ftp library to download files from external FTP servers are at risk. This includes automated file transfer systems, backup solutions, and any application that relies on basic-ftp for FTP functionality. Specifically, systems that handle user-provided FTP server addresses or filenames are particularly vulnerable.
• nodejs / server:
npm list basic-ftp• nodejs / server:
npm audit basic-ftp• nodejs / server:
Inspect application code for instances where basic-ftp is used to download files from external FTP servers, paying close attention to how filenames are handled and validated.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (25% शतमक)
CISA SSVC
CVE-2026-27699 को कम करने के लिए सबसे प्रभावी तरीका basic-ftp लाइब्रेरी को संस्करण 5.2.0 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप फ़ायरवॉल या प्रॉक्सी सर्वर का उपयोग करके FTP सर्वर से आने वाले अनुरोधों को फ़िल्टर कर सकते हैं ताकि पथ पारगमन अनुक्रमों वाले अनुरोधों को ब्लॉक किया जा सके। इसके अतिरिक्त, आप अपने अनुप्रयोग में इनपुट सत्यापन को मजबूत कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि डाउनलोड निर्देशिका के बाहर फ़ाइलों को लिखने से रोकने के लिए फ़ाइल नाम ठीक से मान्य हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, डाउनलोड फ़ंक्शन का परीक्षण करें और फ़ाइल पथों को मान्य करें।
basic-ftp लाइब्रेरी को संस्करण 5.2.0 या उच्चतर में अपडेट करें। यह downloadToDir() विधि में path traversal vulnerability को ठीक करता है। अपडेट को npm पैकेज मैनेजर का उपयोग करके किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-27699 basic-ftp लाइब्रेरी में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों को लिखने की अनुमति देती है।
यदि आप basic-ftp के संस्करण 5.2.0 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
basic-ftp लाइब्रेरी को संस्करण 5.2.0 या बाद के संस्करण में अपग्रेड करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन सार्वजनिक PoC के कारण इसका शोषण होने की संभावना है।
आधिकारिक सलाहकार के लिए basic-ftp GitHub रिपॉजिटरी की जांच करें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।