FUXA getroffen door een Path Traversal Sanitization Bypass

Een succesvolle exploitatie van CVE-2026-25951 kan leiden tot Remote Code Execution (RCE) op de server. Door willekeurige bestanden in gevoelige directories te plaatsen, kan een aanvaller kwaadaardige scripts injecteren die worden uitgevoerd wanneer de server deze scripts opnieuw laadt. Dit geeft de aanvaller de mogelijkheid om de server te compromitteren, gevoelige gegevens te stelen, de server te gebruiken voor verdere aanvallen (zoals het lanceren van aanvallen op andere systemen in hetzelfde netwerk) of de dienst volledig te verstoren. De impact is aanzienlijk, aangezien de kwetsbaarheid een directe route naar RCE biedt voor geauthenticeerde gebruikers met admin rechten.

Organizations relying on fuxa-server for critical services are at risk, particularly those with administrative interfaces exposed to the internet. Environments with legacy configurations or shared hosting setups where user privileges are not strictly controlled are especially vulnerable. Any deployment using older, unpatched versions of fuxa-server is potentially exposed.

• nodejs / server:

journalctl -u fuxa-server -f | grep -i "path traversal"

• nodejs / server:

ps aux | grep fuxa-server | grep -i "....//"

• generic web: Use curl to test for path traversal:

curl 'http://your-fuxa-server/path/....//sensitive_file.txt' 

• generic web: Grep access logs for requests containing suspicious path traversal sequences (e.g., '....//').

1. 2026-02-10Disclosure

   disclosure

1. Gereserveerd2026-02-09
2. Gepubliceerd2026-02-10
3. Gewijzigd2026-02-22
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2026-25951 is het upgraden van fuxa-server naar versie 1.2.11 of hoger. Deze versie bevat een correctie voor de path traversal kwetsbaarheid. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de admin gebruiker, het implementeren van een Web Application Firewall (WAF) met regels om directory traversal pogingen te blokkeren, of het configureren van de server om alleen toegang te verlenen tot de noodzakelijke directories. Controleer ook de server logs op verdachte activiteiten die wijzen op pogingen tot directory traversal. Na de upgrade, bevestig de correctie door te proberen een bestand buiten de toegestane directory te schrijven.