FUXA はパス トラバーサル サニタイゼーション バイパスの影響を受けています

この脆弱性は、攻撃者がディレクトリトラバーサル保護をバイパスし、サーバーファイルシステムに任意のファイルを書き込むことを可能にします。特に、runtime/scriptsのような機密ディレクトリへの書き込みが可能となり、サーバーがこれらの悪意のあるスクリプトをリロードするとリモートコード実行（RCE）につながる可能性があります。攻撃者は、システムの設定ファイルを改ざんしたり、バックドアをインストールしたり、機密情報を盗み出したりする可能性があります。この脆弱性は、過去のパス・トラバーサル脆弱性とは異なる新しい脆弱性であり、より深刻な影響をもたらす可能性があります。

Organizations relying on fuxa-server for critical services are at risk, particularly those with administrative interfaces exposed to the internet. Environments with legacy configurations or shared hosting setups where user privileges are not strictly controlled are especially vulnerable. Any deployment using older, unpatched versions of fuxa-server is potentially exposed.

• nodejs / server:

journalctl -u fuxa-server -f | grep -i "path traversal"

• nodejs / server:

ps aux | grep fuxa-server | grep -i "....//"

• generic web: Use curl to test for path traversal:

curl 'http://your-fuxa-server/path/....//sensitive_file.txt' 

• generic web: Grep access logs for requests containing suspicious path traversal sequences (e.g., '....//').

1. 2026-02-10Disclosure

   disclosure

1. 予約済み2026-02-09
2. 公開日2026-02-10
3. 更新日2026-02-22
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずfuxa-serverをバージョン1.2.11にアップデートすることを推奨します。アップデートが利用できない場合、WAF（Web Application Firewall）やリバースプロキシを設定し、ディレクトリトラバーサル攻撃を検知・ブロックするルールを実装することが有効です。また、ファイルシステムのアクセス権を適切に設定し、攻撃者が機密ディレクトリにアクセスできないように制限することも重要です。アップデート後、ファイルシステムの整合性を確認し、不正なファイルが書き込まれていないことを確認してください。