Platform
nodejs
Component
basic-ftp
Opgelost in
5.2.1
5.2.0
CVE-2026-27699 is a critical path traversal vulnerability discovered in the basic-ftp Node.js library. This flaw allows a malicious FTP server to manipulate directory listings, enabling attackers to write files to arbitrary locations on the system. The vulnerability affects versions prior to 5.2.0 and can lead to unauthorized file access and potential system compromise. A fix is available in version 5.2.0.
Een succesvolle exploitatie van CVE-2026-27699 kan aanzienlijke gevolgen hebben. Een aanvaller kan een FTP-server misbruiken om directory listings te manipuleren, waardoor bestanden naar willekeurige locaties op het systeem kunnen worden geschreven. Dit omvat potentieel het overschrijven van systeemconfiguratiebestanden, het installeren van malware, of het verkrijgen van gevoelige informatie. De impact is vergelijkbaar met andere path traversal kwetsbaarheden waarbij de aanvaller controle krijgt over de bestemmingslocatie van de geschreven data. De ernst van de impact hangt af van de privileges van de gebruiker die de basic-ftp bibliotheek gebruikt.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-02-25. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de publicatie van de details maakt het potentieel voor exploitatie groter. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven. De CVSS score van 9.1 (CRITICAL) duidt op een hoge mate van ernst.
Applications and services built on Node.js that utilize the basic-ftp library to download files from external FTP servers are at risk. This includes automated file transfer systems, backup solutions, and any application that relies on basic-ftp for FTP functionality. Specifically, systems that handle user-provided FTP server addresses or filenames are particularly vulnerable.
• nodejs / server:
npm list basic-ftp• nodejs / server:
npm audit basic-ftp• nodejs / server:
Inspect application code for instances where basic-ftp is used to download files from external FTP servers, paying close attention to how filenames are handled and validated.
disclosure
Exploit Status
EPSS
0.09% (25% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-27699 is het upgraden van de basic-ftp bibliotheek naar versie 5.2.0 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om FTP-verkeer te inspecteren en potentieel schadelijke directory traversal sequences te blokkeren. Controleer ook de configuratie van de FTP-server om te zorgen dat directory listings niet onnodig worden verstrekt. Na de upgrade, verifieer de fix door een bestand te downloaden via FTP en te controleren of het naar de beoogde directory wordt geschreven.
Werk de basic-ftp bibliotheek bij naar versie 5.2.0 of hoger. Dit corrigeert de path traversal vulnerability in de downloadToDir() methode. De update kan worden uitgevoerd met behulp van de npm package manager.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27699 is a critical path traversal vulnerability in the basic-ftp Node.js library, allowing attackers to write files outside the intended download directory.
You are affected if you are using basic-ftp versions prior to 5.2.0 and downloading files from untrusted FTP servers.
Upgrade to basic-ftp version 5.2.0 or later. As a temporary workaround, sanitize filenames received from the FTP server.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation.
Refer to the basic-ftp project's repository and release notes for the official advisory and details on the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.