ApostropheCMS एक ओपन-सोर्स कंटेंट मैनेजमेंट फ्रेमवर्क है। `@apostrophecms/import-export` के संस्करण 3.5.3 से पहले, `gzip.js` में `extract()` फंक्शन `fs.createWriteStream(path.join(exportPath, header.name))` का उपयोग करके फाइल-राइट पाथ बनाता है। `path.join()` ट्रैवर्सल सेगमेंट जैसे `../` को हल या सैनिटाइज नहीं करता है। यह उन्हें जैसा है वैसा जोड़ता है, जिसका अर्थ है कि `../../evil.js` नाम का एक टार एंट्री इच्छित एक्सट्रैक्शन डायरेक्टरी के बाहर एक पाथ पर हल हो जाती है। लिखने के स्ट्रीम को खोलने से पहले कोई कैनोनिकल-पाथ चेक नहीं किया जाता है। यह एक क्लासिक ज़िप स्लिप भेद्यता है। कोई भी उपयोगकर्ता जिसे ग्लोबल कंटेंट मॉडिफाई अनुमति दी गई है - एक भूमिका जो नियमित रूप से कंटेंट संपादकों और साइट प्रबंधकों को सौंपी जाती है - मानक सीएमएस आयात यूआई के माध्यम से एक तैयार की गई `.tar.gz` फाइल अपलोड कर सकता है और होस्ट फाइलसिस्टम पर नोड.जेएस प्रक्रिया द्वारा पहुंच योग्य किसी भी पाथ पर हमलावर-नियंत्रित कंटेंट लिख सकता है। `@apostrophecms/import-export` के संस्करण 3.5.3 इस समस्या को ठीक करता है।

यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है। एक हमलावर एक दुर्भावनापूर्ण tarball फ़ाइल अपलोड कर सकता है जिसमें पथ ट्रैवर्सल सीक्वेंस (जैसे ../../evil.js) शामिल हैं। @apostrophecms/import-export मॉड्यूल इन सीक्वेंस को ठीक से सैनिटाइज करने में विफल रहता है, जिसके परिणामस्वरूप हमलावर सिस्टम पर मनमाना स्थानों पर फ़ाइलें लिख सकता है। यह हमलावर को महत्वपूर्ण सिस्टम फ़ाइलों को अधिलेखित करने, बैकडोर स्थापित करने या अन्य दुर्भावनापूर्ण गतिविधियाँ करने की अनुमति दे सकता है। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम समझौता और सेवा से इनकार करने के लिए किया जा सकता है। यह भेद्यता Log4Shell जैसी अन्य पथ ट्रैवर्सल भेद्यताओं के समान शोषण पैटर्न का पालन करती है, जो इसके संभावित प्रभाव को और बढ़ाती है।

ApostropheCMS installations using @apostrophecms/import-export versions prior to 3.5.3 are at risk. This includes developers and system administrators who manage ApostropheCMS deployments, particularly those who allow users to upload files via the import-export functionality. Shared hosting environments running ApostropheCMS are also at increased risk, as a compromised user account could potentially exploit this vulnerability to gain access to the entire server.

• nodejs / server:

find /path/to/node_modules/@apostrophecms/import-export/gzip.js -exec grep -i 'path.join(exportPath, header.name)' {}

• linux / server:

journalctl -f -u node | grep -i "extract()"

• generic web:

curl -I http://your-apostrophe-site.com/import-export/upload.php?file=../../evil.txt

1. 2026-03-18Disclosure

   disclosure

2. 2026-03-18Patch

   patch

1. आरक्षित2026-03-13
2. प्रकाशित2026-03-18
3. संशोधित2026-03-24
4. EPSS अद्यतन2026-03-26

CVE-2026-32731 को कम करने के लिए, सबसे पहले @apostrophecms/import-export मॉड्यूल को संस्करण 3.5.3 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो पथ ट्रैवर्सल हमलों को ब्लॉक करता है। WAF नियमों को ../ जैसे अनुक्रमों के लिए फ़ाइल पथों की जांच करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, आप फ़ाइल अपलोड प्रक्रिया में इनपुट सत्यापन जोड़ सकते हैं ताकि यह सुनिश्चित किया जा सके कि अपलोड की गई फ़ाइलें सुरक्षित हैं। अपलोड की गई फ़ाइलों के लिए सख्त फ़ाइल नाम प्रतिबंध लागू करें और अनधिकृत फ़ाइल प्रकारों को ब्लॉक करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल अपलोड प्रक्रिया का परीक्षण करें और फ़ाइल पथों को सैनिटाइज करने के लिए सिस्टम की क्षमता को सत्यापित करें।